关键信息 漏洞类型: SQL注入漏洞 CVE ID: CVE-2025-30372 受影响版本: <= pro-2.5.8 修复版本: pro-2.5.9 漏洞位置: /index.php?keyword=123 漏洞原因: search_controller.php 在 urldecode 后未使用 addslashes,导致前导的 addslashes 可以通过 URL 双重编码绕过。 影响: 潜在泄露用户数据库中的敏感信息。 复现步骤 1. URL 访问: 2. MITM 工具 (如 Burp Suite): 结果 成功利用 SQL 注入读取数据库名、用户名和数据路径等敏感信息。