关键信息 漏洞详情 CVE ID: CVE-2025-61247 CWE ID: CWE-89 - Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') 产品: Online Shopping System 版本: 1.0 厂商: indieka900/online-shopping-system-php 漏洞类型: SQL Injection 漏洞文件: 漏洞参数: 发现者: Suyash Kishor Sawant 描述 在线购物系统应用程序的 文件中存在SQL注入漏洞。由于对特殊元素的不正确中和,导致SQL命令中的注入。 影响 数据库枚举 对敏感信息的未经授权访问 可能的身份验证绕过 潜在的代码执行(取决于DBMS配置) 通过绕过身份验证进行账户接管 完整数据库泄露(读/写/删除) 敏感用户凭据和PII的泄露 缓解措施 使用参数化查询和预编译语句 应用严格的服务器端输入验证 对数据库帐户实施最小特权原则 定期修补和更新应用程序及其依赖项 对用户输入进行清理和验证(密码不应直接接触SQL查询) 参考资料 OWASP SQL Injection Guide