漏洞概述 漏洞名称: QueryMine sms up to 7ab5a9ea196209611134525ffc18de25c57d9593 GET Request Parameter admin/deletecourse.php ID sql injection 漏洞类型: SQL注入 漏洞描述: 在QueryMine sms的admin/deletecourse.php文件中,GET请求参数ID存在SQL注入漏洞。攻击者可以通过构造恶意输入来执行任意SQL命令,影响数据的机密性、完整性和可用性。 CVSS评分: 6.6 CVSS向量: AV:N/AC:L/Au:N/C:P/I:P/A:P CVE编号: CVE-2026-6490 CPE编号: - CPE:2.3: a:querymine:querymine:1.0::::::: - CPE:2.2: a:querymine:querymine:1.0 影响范围 受影响版本: QueryMine sms 1.0 影响组件: admin/deletecourse.php 影响级别: 严重(Critical) 利用难度: 容易 认证要求: 无需认证 远程利用: 是 本地利用: 否 物理访问: 否 修复方案 推荐措施: 目前尚无已知的缓解措施。建议尽快更新或替换受影响的组件。 替代产品: 可以考虑使用其他替代产品。 POC代码/利用代码 页面中未提供具体的POC代码或利用代码。 其他信息 发现时间: 2026年4月17日 提交者: lzr403 来源: GitHub 参考链接**: - GitHub - CVE-2026-6490 - GCVE 总结 该漏洞是一个严重的SQL注入漏洞,影响QueryMine sms 1.0版本的admin/deletecourse.php文件。攻击者可以通过构造恶意输入来执行任意SQL命令,影响数据的机密性、完整性和可用性。目前尚无已知的缓解措施,建议尽快更新或替换受影响的组件。