漏洞关键信息 漏洞标题 SQL注入漏洞存在于 文件的 参数中。 影响产品及组件 产品: DedeBIZ CMS ( ) 受影响组件: 版本 版本: v6.3.2 漏洞描述 参数未进行类型验证,并直接传递给数据库查询。在后续查询中, 变量取自不可信输入 ,这使得攻击者可以构造恶意SQL语句并执行任意数据库操作。 关键易受攻击的代码片段 漏洞演示 1. 在 页面上,点击“Update Select Single page”触发 。 2. 使用以下URL和_payload_发送请求触发SQL注入: - 请求URL: - payload: 补丁建议 对 参数进行严格的类型验证和输入过滤,确保其不会被用于构造恶意SQL语句。 使用预编译语句或参数化查询来防止SQL注入。