关键信息 受影响的产品 Apartment Visitors Management System 漏洞文件 /admin/pass-details.php 影响版本 V1.0 漏洞类型 SQL Injection 根因 由于对用户输入的“pid”参数缺乏有效验证,攻击者可以注入恶意代码。该输入直接用于SQL查询,未进行适当的清理或验证。 影响 攻击者可以利用此SQL注入漏洞获取数据库的未经授权访问,导致敏感数据泄露、篡改数据、完全控制系统和中断服务。 描述 在“Apartment Visitors Management System”项目的“/admin/pass-details.php”文件中检测到一个关键的SQL注入漏洞。这使得攻击者能够执行SQL注入攻击,操纵数据、删除数据并获取敏感信息。 漏洞细节和POC 漏洞位置: “pid”参数 Payload: - AND 'Aue'='Aue - pid=1' UNION ALL SELECT NULL,NULL,CONCAT(0x716da071,0x44537663685678466d6b53484f68589df958de524551 请求包: 建议修复 1. 使用预编译语句和参数绑定。 2. 进行输入验证和过滤。 3. 最小化数据库用户权限。