关键信息 漏洞详情 CVE ID: CVE-2025-51970 产品: Online Shopping System Advanced 版本: 1.0 厂商: PuncehBodyM/online shopping system advanced (https://github.com/PuneechBoddyM/online_shopping_system_advanced) 漏洞类型: SQL Injection 受影响文件: online-shopping-system-advanced-master/action.php 易受攻击参数: keyword (POST) 描述 在线购物系统高级项目的 文件中存在SQL注入漏洞。 PoC (概念验证) 测试负载: 数据库枚举示例: 结果: natural, onlineshop TRUE Payload Examples: FALSE Payload Examples: 易受攻击的HTTP请求: 影响 从数据库中检索敏感数据 操纵或删除记录 执行管理数据库命令 可能通过堆叠查询进行代码执行(取决于DBMS配置) 缓解措施 使用预处理语句和参数化查询 对所有用户输入进行清理和验证 为数据库用户应用最小权限原则 定期更新依赖项并应用安全补丁 参考资料 OWASP SQL Injection Guide 发现者 Ahmed Najeh