关键漏洞信息 漏洞类型: SQL Injection 受影响的包: 受影响版本: 已修复版本: CVE ID: CVE-2026-25544 严重性: Critical (9.8/10) 描述 在查询JSON或richText字段时,用户输入未经转义直接嵌入到SQL中,导致盲SQL注入攻击。 影响 未认证的攻击者可以提取敏感数据(如电子邮件、密码重置令牌)并实现无需密码破解的账户接管。 您受影响的条件 1. Payload版本 2. 使用Drizzle-based数据库适配器 - - - - 3. 至少一个可访问的集合拥有 或 字段,其中 返回非 值(即 或 约束) 您不受影响的条件 使用 任何集合中不存在JSON或richText字段 所有JSON/richText字段有 修复方案 升级到Payload 或更高版本。 权宜之计 如果无法立即升级,为所有JSON和richText字段加入 作为临时缓解措施。