关键信息总结 漏洞详情 CVE编号: CVE-2025-46053 漏洞类型: SQL注入 (SQL Injection) 受影响软件: WebERP v4.15.2 描述: 由于WebERP v4.15.2中的错误处理机制,攻击者可以通过构造特定的POST请求到 来执行任意SQL命令并提取敏感数据。 漏洞细节 易受攻击的端点: 易受攻击的参数: , Payload示例: 复现步骤 1. 以管理员身份登录并进入报告构建工具。 2. 完成报告构建过程直到看到以下请求: 3. 在 参数后附加一个'a',观察数据库错误。 4. 通过错误注入SQL获取数据库名称: 5. 使用SQLMap自动化此过程: 6. 确认 参数的漏洞。 易受攻击的请求示例 针对 参数: 针对 参数: