漏洞总结:EyouCMS v1.7.9 Pre-auth SQL Injection 漏洞概述 漏洞类型:Pre-auth SQL Injection(无需认证的SQL注入) 漏洞位置: 中的 函数(Line 5409-5433) 漏洞原因: 参数直接拼接进 子句,未做白名单校验 严重程度:Critical(可导致数据库信息完全泄露) 影响范围 受影响版本:EyouCMS <= v1.7.9(2026-02-04) 引入版本:v1.5.4(2021-06-07) 不受影响版本:v1.5.3 及更早(该函数不存在) 攻击条件:无需认证,可直接访问前端文章列表页 POC 代码 1. 时间盲注检测 2. 使用 sqlmap 提取管理员凭证 修复方案 对 参数添加白名单验证,防止SQL注入 示例修复: