关键信息 漏洞标识 CVE编号: CVE-2025-62655 漏洞描述 问题: Cargo扩展将两个URL参数直接插入SQL中,没有进行转义,导致SQL注入漏洞。 复现步骤 1. 创建一个模板页面。 2. 在Cargo查询中使用以下内容: 3. 创建一个包含以下内容的模板: 4. 访问 并观察错误消息。由于 和 参数未被转义,可以触发SQL注入。 原因 和 参数在 文件中直接插入SQL语句中,没有进行适当的转义或验证。 修复措施 需要对 和 参数进行适当的转义或验证,以防止SQL注入攻击。 相关事件 提交了多个补丁和评论,讨论了修复方案和代码审查过程。