关键信息 漏洞概述 CVE编号: CVE-2025-60514 漏洞类型: SQL Injection 受影响版本: Tillywork v0.1.3 及以下版本 影响文件: 基本信息 研究员: Kusol Watchara-Apanukorn (研究和社区负责人) 项目链接: https://github.com/tillywork/tillywork 修复提交: https://github.com/tillywork/tillywork/pull/288 测试版本: v0.1.3 - Collaboration 概念验证 (PoC) 1. 插入单引号: 在使用 操作符时,在 中插入单引号,服务器将返回 500 内部错误。 2. SQL 语法错误: 可以在服务器日志中看到 SQL 语法错误。 根源分析 根本原因: 服务器在 和 子句中直接接受值拼接,未进行参数化处理。 代码片段