关键信息总结 漏洞概述 CVE编号: CVE-2024-57171 影响版本: ThinkPHP 6.0.5版本 漏洞类型: SQL注入 漏洞细节 1. 客户管理处存在SQL注入 请求示例: 源码定位: - 文件中的相关代码片段。 - 文件中的相关代码片段。 2. 动态调试 在客户账户中,通过添加一个参数,可以触发SQL注入漏洞。 错误信息: 3. 成功复现 使用特定的payload成功触发了SQL注入,并在数据库查询中返回了预期的结果。 POC (Proof of Concept) 请求示例: 补充 测试过程中发现搜索功能,可以通过逻辑中被过滤的字符串来构造SQL语句,从而达到恶意目的。 ``` 这些信息表明该漏洞存在于ThinkPHP 6.0.5版本的客户管理模块中,攻击者可以通过构造特定的请求参数触发SQL注入,进而执行恶意SQL语句。