关键信息 漏洞概述 CVE编号: CVE-2025-56450 漏洞类型: 未授权SQL注入 受影响软件: Log2Space Subscriber Management Software (版本1.1) 影响API端点: /l2s/api/selfcareLeadHistory 技术细节 请求方法: POST Content-Type: multipart/form-data Content-Disposition: form-data; name="lead_id" 易受攻击参数: lead_id 示例利用载荷 根本原因 参数直接拼接到SQL查询中,没有进行适当的输入验证或参数化查询。 影响 1. 攻击者可以从数据库中提取敏感的客户数据。 2. 在某些配置下,SQL注入可能导致远程代码执行。 3. 攻击者可以操纵或删除客户和计费数据。 缓解措施 1. 实现参数化查询(预编译语句)用于所有数据库操作。 2. 强制严格输入验证和对所有用户提供的数据进行清理。 3. 在生产环境中禁用详细的SQL错误消息。 4. 在生产环境中禁用详细的SQL错误消息。