Muucmf T6 CMS SQL注入漏洞总结 漏洞概述 Muucmf T6 CMS(版本 v1.9.5.20260309)在 接口的 参数中存在 SQL 注入漏洞。攻击者无需登录即可通过构造恶意 SQL 命令注入,从而提取敏感数据库信息。根据服务器配置(如 ),该漏洞可能进一步导致远程代码执行(RCE)。 影响范围 受影响软件:Muucmf T6 CMS 受影响版本:v1.9.5.20260309 漏洞类型:SQL Injection (SQLi) CVSS 评分:9.8 (Critical) 利用条件:无需认证(Unauthenticated) 修复方案 1. 输入过滤与转义:对 参数进行严格的输入过滤和转义,防止恶意 SQL 注入。 2. 使用参数化查询:避免使用 或 方法直接拼接用户输入,改用参数化查询或 ORM 的安全方法。 3. 限制权限:确保数据库用户权限最小化,避免高权限账户被利用。 4. 更新软件:升级到修复该漏洞的最新版本。 POC 代码 利用示例 时间延迟注入:通过 实现 3 秒延迟,验证漏洞存在。 盲注:利用 和 函数进行布尔盲注,提取数据库信息。 参考链接 Muucmf T6 CMS SQL Injection CVE-2025-14383