Steedos Steedos-platform SQL注入漏洞

漏洞介绍

Steedos Steedos-platform是中国Steedos组织的一个基于Javascript的可声明式的方式创建网站的建站系统。

Steedos Platform 1.21.24版本及之前版本存在SQL注入漏洞，该漏洞源于允许NoSQL注入，因为erver/packages/steedos_base.js的 /api/collection/findone错误地处理了req.body验证，如MongoDB操作攻击，如X-User-Id[$ne]=1值。

漏洞补丁

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

https://github.com/steedos/steedos-platform

参考网址

来源:MISC

链接：https://github.com/steedos/steedos-platform/issues/1245

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202012-1504