阿里云漏洞库

漏洞描述

phpscriptpoint Car Listing 1.6中的/search.php组件的GET参数处理存在漏洞。攻击者利用brand_id/model_id/car_condition/car_category_id/body_type_id/fuel_type_id/transmission_type_id/year/mileage_start/mileage_end/country/state/city的参数进行注入攻击。该漏洞可以远程发起攻击，且属于严重漏洞。编号为VDB-235211。**注意：** 安全厂商早已将此问题通报给产品供应商，但未得到任何回复。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://vuldb.com/?ctiid.235211
https://vuldb.com/?id.235211

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	phpscriptpoint	car_listing	1.6	-
	运行在以下环境
	系统	alma_linux_8	webkit2gtk3	*		Up to (excluding) 2.40.5-1.el8
	运行在以下环境
	系统	alma_linux_9	webkit2gtk3	*		Up to (excluding) 2.40.5-1.el9
	运行在以下环境
	系统	amazon_2	webkitgtk4	*		Up to (excluding) 2.40.5-3.amzn2.0.1
	运行在以下环境
	系统	anolis_os_23	webkitgtk	*		Up to (excluding) 2.40.5-1
	运行在以下环境
	系统	fedora_37	webkitgtk	*		Up to (excluding) 2.40.5-1.fc37
	运行在以下环境
	系统	fedora_38	webkitgtk	*		Up to (excluding) 2.40.5-1.fc38
	运行在以下环境
	系统	opensuse_Leap_15.4	WebKitGTK	*		Up to (excluding) 4.0-lang-2.40.5-150400.4.45.3
	运行在以下环境
	系统	opensuse_Leap_15.5	WebKitGTK	*		Up to (excluding) 4.0-lang-2.40.5-150400.4.45.3
	运行在以下环境
	系统	oracle_8	webkit2gtk3	*		Up to (excluding) 2.40.5-1.el8
	运行在以下环境
	系统	oracle_9	webkit2gtk3	*		Up to (excluding) 2.40.5-1.el9
	运行在以下环境
	系统	redhat_8	webkit2gtk3	*		Up to (excluding) 2.40.5-1.el8
	运行在以下环境
	系统	redhat_9	webkit2gtk3	*		Up to (excluding) 2.40.5-1.el9
	运行在以下环境
	系统	suse_12_SP5	libwebkit2gtk-4_0	*		Up to (excluding) 2.40.5-2.146.1

攻击路径

网络
攻击复杂度

低
权限要求

无
影响范围

未更改
用户交互

无
可用性

高
保密性

高
完整性

高

CWE-ID	漏洞类型
CWE-89	SQL命令中使用的特殊元素转义处理不恰当（SQL注入）

Carlisting SQL注入漏洞(CVE-2023-3859)

漏洞描述

解决建议

参考链接

受影响软件情况