关键信息 漏洞详情 CVE ID: CVE-2025-51970 产品: Online Shopping System Advanced 版本: 1.0 漏洞类型: SQL Injection 漏洞文件: /online-shopping-system-advanced-master/action.php 漏洞参数: keyword (POST) 发现者: Jairaj Paryani 描述 在 文件中存在SQL注入漏洞,该文件是Online Shopping System Advanced项目的一部分。 Proof of Concept (PoC) 测试用例 数据库枚举示例 真实Payload示例 ANSI Payload示例 漏洞HTTP请求 影响 检索数据库中的敏感数据 操纵或删除记录 执行管理级数据库命令 可能通过堆叠查询执行代码(取决于DBMS配置) 缓解措施 使用预处理语句和参数化查询 对所有用户输入进行清理和验证 应用最小权限原则为数据库用户 定期更新依赖项并应用安全补丁 参考资料 OWASP SQL Injection Guide