关键信息 CVE编号: CVE-2025-10846 漏洞类型: 布尔型SQL注入 受影响系统: i-Educar 漏洞位置: 受影响参数: 技术细节 易受攻击的端点: 受影响参数: 证明概念 (PoC) 使用 工具进行测试,命令如下: 识别出以下注入点: - 参数: (GET) - 类型:布尔型盲注 - 标题:AND布尔型盲注 - WHERE或HAVING子句 - 负载: 影响 访问数据库中存储的敏感数据 枚举数据库模式、表和列 修改、删除或插入任意记录 泄露用户凭证和个人信息 执行拒绝服务(DoS)攻击 在某些情况下,升级为远程代码执行(RCE) 官方来源 CVE.org条目:CVE-2025-10846 VulDB条目:VulDB Entry 结论 布尔型攻击是离散、高效且经常未被表面日志检测到的。 此发现强调了正确验证输入参数的重要性,特别是通常被认为是“安全”的数值ID。 致谢 发现者:Karina Gante