SohelYousef/CVE-2024-58290-Xhibiter-SQLi

# CVE-2024-58290-Xhibiter-SQLi Xhibiter NFT Marketplace 1.10.2 (Collections Endpoint) SQL 注入概念验证。发现者：Sohel Yousef。 # CVE-2024-58290：Xhibiter NFT Marketplace SQL 注入 **漏洞标题：** Xhibiter NFT Marketplace 1.10.2 - SQL 注入 (未授权) **日期：** 2024-12-11 **漏洞作者：** Sohel Yousef **供应商主页：** https://themeforest.net/user/deothemes **软件链接：** https://themeforest.net/item/xhibiter-nft-marketplace-html-template/36542347 **版本：** 1.10.2 **测试环境：** Linux / Windows **CVE：** CVE-2024-58290 ## 漏洞描述 Xhibiter NFT Marketplace 版本 1.10.2 中存在一个严重的 SQL 注入漏洞。该漏洞位于 `collections` 端点的 `id` 参数中。这允许远程未经身份验证的攻击者执行任意 SQL 命令，可能导致数据泄露或数据库被篡改。 ## 技术细节 - **受影响参数：** `id` - **端点：** `/collections` - **注入类型：** 布尔型 / 时间盲注 - **攻击向量：** 远程 (网络) ## 概念验证 我编写了一个 Python 脚本来自动化检测此漏洞。该脚本发送一个良性 payload 来验证数据库响应的时间延迟 (基于时间的 SQL 注入检测)。 ### 用法 ``` python3 poc.py --url [http://target-site.com](http://target-site.com) ```

标签：CISA项目, CVE-2024-58290, DOE合作, Maven, NFT市场, PoC, Python, Web安全, Xhibiter, 多线程, 安全测试, 安全漏洞, 攻击性安全, 无后门, 暴力破解, 未授权攻击, 漏洞验证, 盲注, 蓝队分析, 逆向工具