Gate Pass Management System 2.1 SQL Injection via login-exec.php 漏洞概述 Gate Pass Management System 2.1 存在一个 SQL 注入漏洞,允许未经身份验证的攻击者通过向 的登录和密码参数注入 SQL 代码来绕过身份验证。攻击者可以提交包含 SQL 注入有效负载的 POST 请求,以表单参数形式进行身份验证,而无需有效凭据即可访问应用程序。 影响范围 受影响系统: Gate Pass Management System <= 2.1 CVE: CVE-2018-25424 CWE: CWE-89 (Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')) CVSS: 8.8 CVSS v4 Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N 修复方案 参考链接: - ExploitDB-45766 - Official Product Homepage - Product Reference POC代码 其他信息 严重性: HIGH 日期: 5/30/2026 报告人: Ihsan Sencan