adhammedhat111/Magento-CVE-2019-7139-SQLi-PoC

# CVE-2019-7139 PoC：Magento SQL 注入 本仓库包含 **CVE-2019-7139** (PRODSECBUG-2198) 的概念验证 (PoC) 利用程序，这是由 Ambionics Security 的 Charles Fol 发现的 Magento 中的一个未经身份验证的 SQL 注入漏洞。 ## 漏洞详情 - **CVE ID**：CVE-2019-7139 - **受影响版本**： - Magento Open Source <= 1.9.4.0 - Magento Commerce <= 1.14.4.0 - Magento 2.1 <= 2.1.16 - Magento 2.2 <= 2.2.7 - Magento 2.3.0 - **描述**：该漏洞允许未经身份验证的攻击者通过 `/catalog/product_frontend_action/synchronize` 端点执行 SQL 注入，可能提取敏感数据或操纵数据库。 - **影响**：数据泄露、数据篡改，以及可能升级为进一步的攻击。 ## 用途 此 PoC 仅用于**教育目的**和**安全研究**。它演示了攻击者如何利用 CVE-2019-7139 通过报错型或时间型 SQL 注入提取数据库信息。 ## 安装 1. 克隆仓库： git clone https://github.com/adhammedhat111/Magento-CVE-2019-7139-SQLi-PoC.git 2. 进入仓库目录： cd Magento-CVE-2019-7139-SQLi-PoC 3. 安装依赖： pip install requests ## 使用 1. 运行 PoC： python3 exploit.py 2. 脚本将尝试枚举数据库、表、列和示例数据。 ## 参考 - [CVE-2019-7139](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-7139) - [Magento 安全公告](https://magento.com/security) - [Ambionics Security](https://www.ambionics.io/) - [Pentest-Tools：使用 SQLmap 利用 Magento SQL 注入](https://pentest-tools.com/blog/exploiting-sql-injection-in-magento-with-sqlmap) - [Lexfo：Magento SQL 注入](https://blog.lexfo.fr/magento-sqli.html) ## 免责声明 本代码仅用于教育和研究目的。**切勿在未获得系统所有者明确许可的情况下对其系统使用。** 作者不对任何滥用或由此代码造成的损害负责。使用风险自负。 ## 许可证 本项目根据 MIT 许可证授权。有关详细信息，请参阅 LICENSE 文件。

标签：CISA项目, CVE-2019-7139, Error-Based SQLi, Magento, PoC, PRODSECBUG-2198, Python, Web安全, 数据库攻击, 数据提取, 无后门, 暴力破解, 未经身份验证, 概念验证, 漏洞分析, 漏洞复现, 电商安全, 网络安全, 蓝队分析, 路径探测, 逆向工具, 隐私保护