关键信息 漏洞类型: SQL 注入漏洞 受影响文件: 漏洞跟踪路径: - MCMS V5.1 因存在 SQL 注入漏洞引发问题。受影响的代码包括多个 文件和方法,与 参数有关。 参数影响: 问题参数是 ,其值受到 SQL 注入的影响。给定该参数值为某些非法值时,有可能触发 SQL 注入。 poc: 返回结果对比: - 注入时不成功,响应时间约为 123ms 而没有延迟; - 成功注入时,响应时间明显变为 5081ms(延迟 5 秒),响应内容也变为了 246 bytes。 该漏洞被验证为 true-positive 基于响应时间和内容变化。 结论: MCMS V5.1 版本的 存在针对 参数的 SQL 注入漏洞,攻击者能通过注入恶意的 SQL 语句来控制数据库查询,进一步可能发起数据泄露或数据修改等攻击。