以下是关于该漏洞的关键信息,以简洁的Markdown格式呈现: 漏洞概述 漏洞类型: SQL注入 漏洞位置: 中的 操作 受影响版本: <= 2.9.8 修补状态: 无 严重性: 高 漏洞详情 描述 存在SQL注入漏洞,当处理 操作时,在 参数中注入恶意SQL代码。 漏洞代码 数据流 1. 用户输入直接连接到 参数 2. 未对用户输入进行清洗,直接拼接到IN子句 3. Ajax框架执行SQL查询 利用方式 手动PoC Sqlmap利用 影响 数据泄露: 时间盲注入允许完全数据库泄漏 认证绕过: 可访问敏感组件和设备数据 数据操纵: 可能未经授权修改记录 修复措施 将变量转换为整数后,再用于SQL查询: 其他信息 CVSS评分: 8.7/10 CVE ID: CVE-2025-69214 发现者: Lukasz Rybak