从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号:CVE-2024-48325 2. 描述:一个已认证的用户可以利用getDocuments函数中的SQL注入漏洞。 参数在 中未正确净化,允许已认证的远程攻击者注入恶意SQL命令。 3. 版本:该漏洞在Portabilis i-Educar 2.8.0中被发现。 4. 漏洞利用: - 触发端点: - 示例攻击: 5. 服务器响应:示例响应,显示了错误的SQL查询。 6. 自动化利用:可以通过自动化工具如SQLMap进行利用,允许数据库枚举。 7. 建议解决方案: - 使用参数化查询来防止SQL注入风险。 - 示例代码: 这些信息可以帮助理解漏洞的性质、如何利用以及如何修复。