关键漏洞信息 CVE编号: CVE-2025-67102 产品: Jorani 严重性: 高 受影响版本: ≤ v1.0.4 修复版本: 未修复 免责声明 截至发布时,不存在针对此漏洞的修复、补丁或官方缓解措施。 项目维护者已确认该问题,但表示不会进行修复,因为项目即将存档。 依赖该软件的组织应将此漏洞视为永久性漏洞,并评估替代解决方案或隔离措施。 漏洞介绍 Jorani 是一个开源的、基于Web的请假管理和加班跟踪系统,旨在帮助组织以简单、轻量级的方式管理员工缺勤、审批和人力资源工作流程。 漏洞问题 在Jorani项目的最新开发分支(v1.0.4)以及主分支中发现了一个高风险漏洞。一个经过身份验证的SQL注入可允许员工提取、修改或删除数据库内容。 时间线 技术细节 函数直接将 参数拼接到SQL查询中,导致SQL注入漏洞。例如, 路由调用 函数,该函数通过HTTP GET参数传递的 参数,注入到 函数调用中,最后注入到易受攻击的 函数中。 示例请求 资源 GitHub Project