关键漏洞信息 漏洞标题和版本 漏洞标题: jizhicms <= V2.5.5 - addcomment.html-aid 参数 SQL 注入 受影响版本: jizhicms <= V2.5.5 描述 描述: jizhi CMS 试图帮助网民解决使用 Ultimate CMS 和日常网站构建中遇到的困难。存在 SQL 注入漏洞。 证明概念 (POC) POC 步骤: 1. 在互动管理-评论列表-添加评论 2. 在 Settings - Project Information - Basic Settings - Add - Display Name - Field Name 添加评论,并填充所有空白框内的数据。 漏洞位置: 在 参数处 漏洞利用方式 利用工具: 使用 SQLmap 测试 POST 参数 的 SQL 注入 示例命令: 代码分析 问题代码: 参数直接拼接并且没有添加任何过滤。 示例代码片段: 影响版本 受影响版本: jizhicms <= V2.5.5