关键漏洞信息 标题: - z-9527 admin ≤ commit 72aaf2d SQL Injection 描述: - 存在于 Z-9527 Admin ≤ commit 72aaf2d 的 端点中,存在一个 SQL 盲注漏洞。 - 查询参数直接拼接到 SQL 语句中,而没有进行适当的清理或参数化。 - 未授权的攻击者可利用基于时间的盲注技术注入恶意 SQL 载荷。 - 可推断数据库信息,包括完整数据库枚举、凭证提取和潜在权限升级。 缓解措施: - 使用参数化查询或预编译语句替换字符串拼接。 - 对所有用户提供的参数进行严格的输入验证和清理。 - 实现最小权限原则。 - 使用带 SQL 注入检测规则的 Web 应用防火墙。 - 对代码库中的所有数据库查询构建模式进行综合安全审计。 来源: - https://github.com/CC-T-454455/Vulnerabilities/tree/master/z9527-admin/vulnerability-1 提交信息: - 提交者: 匿名用户 - 提交时间: 2026-02-14 14:45 PM - 审核时间: 2026-02-25 03:04 PM 状态: - 已接受 VulDB 编号: - 347772 相关功能点: - user.js checkName/register/login/getUser/getUsers SQL injection