关键信息 漏洞编号: CVE-2025-10845 漏洞类型: 时间盲注SQL注入 受影响的组件: i-Educar开源项目中的 端点 易受攻击的参数: 技术细节: - 漏洞端点: - 影响参数: - Payload (编码): - Payload (解码): 概念验证 (PoC): - 访问 并选择一个ID。 - 在易受攻击的端点中,将payload插入到 参数中(例如,“id=display”)。 - 服务器将花费5秒响应,确认SQL查询成功执行。 影响: - 访问数据库中存储的敏感数据。 - 枚举数据库结构、表和列。 - 修改、删除或添加任意数据。 - 泄露信用卡和个人信息。 - 执行拒绝服务(DOS)攻击,通过触发长时间延迟。 - 在某些情况下,升级为远程代码执行(RCE)。 官方来源: - CVE-2025-10845 on CVE.org - VulDB Entry 结论: SQL注入攻击仍然是Web应用程序面临的最关键威胁之一,特别是当它们是沉默和时间盲注时。此发现展示了如何单个未验证的参数可以危及整个数据库平台。