关键信息 漏洞概述 漏洞类型: SQL注入漏洞 受影响文件: CVE编号: CVE-2025-56074 受影响产品详情 产品名称: Park Ticketing Management System (使用PHP和MySQL) 供应商: PHPGurukul 受影响代码文件: 受影响参数: fromdate 方法: POST 类型: 时间盲注SQL注入 版本: v2.0 官方网站: https://phpgurukul.com/park-ticketing-management-system-using-php-and-mysql/ 重现步骤 1. 登录到管理面板。 2. 导航到报告部分,选择“Foreigner People Report”。 3. 截获请求并找到问题参数 。 4. 确认漏洞:发送修改后的请求并观察响应中的10秒延迟。 影响 数据泄露:未经授权访问服务器数据库数据。 数据操纵:篡改或删除关键数据。 勘探:枚举数据库结构以进行进一步攻击。 财务损失:潜在服务中断导致的经济损失。 名誉损害:因违规或停机而失去用户信任。 推荐缓解措施 1. 输入验证:清理和验证所有用户输入。 2. 预编译语句:使用预编译语句防止SQL注入。 3. 输出编码:在呈现给应用程序之前对数据进行编码。 4. 内容安全策略(CSP):实施CSP以减轻HTML注入风险。