关键信息 漏洞概述 CVE-ID: CVE-2025-2812 USOM Duyurusu: tr-25-0099 漏洞类型: CVE-89 - SQL Injection (Boolean-based Blind) 受影响的系统: Bilet Satış Otomasyonu by Mydata Bilişim Ltd. Şti 原始URL: https://otobusfirmasi.com.tr/otobus-bileti/SifremiUnuttum.php 漏洞描述 在"Bilet Satış Otomasyonu"系统中,SifremiUnuttum.php页面的"Adınızın ilk harfi"参数中检测到Boolean-based Blind SQL Injection漏洞。攻击者可以通过此漏洞获取用户的姓名。 影响范围 该漏洞影响以下20家巴士公司的系统: Balıkesir Uludağ Kontur Efe Tur Kale Seyahat 及其他16家公司 PoC (概念验证) HTTP请求: 使用的Payload: 技术细节 易受攻击的参数: ilkHarf 方法: Boolean-based Blind SQLi 漏洞类型: 在SQL命令中对特殊元素的不正确中和(SQL注入) 致谢 感谢Mydata Bilişim Ltd. Şti在发现并修复漏洞过程中提供的支持与合作。