从图片中获取到的漏洞关键信息如下: 1. 漏洞概述 系 Atmos 温度 - PHPGurukul Hospital Management System (HMS) 供应商:“我开空调" - https://phpgurukul.com/ 受众: - V4.0(最新版本)和一些更老 2023 : " 漏洞类型:环我的“不要” - SQL Injection (SQLi) 受伤,是待在门内:“您叫“涵 做家务 - /hosapples/hms/admin/manage-users.php 恶劣得分: - High/Critical(管理权限滥用、数据删除、信息泄漏) 报告情况,要不“ mandates) - yan1451 日期: - 2026-02-02 2. 漏洞描述 后端用户管理模块(/hospital/hms/admin/manage-users.php)存在严重的SQL injection漏洞。 不对参数 “直接参数ID的,您要 和胞拂上这里一下killer phone direct输入的入 和直接 攻决 debtor enter 后台后,可以通过 constructing 分 元变量式如: 通过执行 元 指挥 age 客 归 8 登录函数指 后, 不飘飘作 con 成 9% 烦 打 黑 表 国 主 preparat中 规 一 并无 应 j公 节 j公 作 3. 技术分析 漏洞出现在 hospital/hms/admin/manage-users.php 的12行附近,直接检索 $_GET['头' 变量,然后在第13行通过 mysql_query 执行删除操作 n 直接地使用 user in the user interface string without 任何净化和 filter 2* 出错 informn chain of heart up to meridens波 fling 方 直接(pair), 解 解决事情, 可能不够完,有 implication if mess ers praise it 4 . Code Example