yudaoCloud v2026.01 漏洞报告 漏洞概述 漏洞一:/admin-api/system/tenant/get-by-website SQL布尔盲注 漏洞类型:SQL布尔盲注(Boolean-based Blind SQL Injection) 利用条件:无需登录即可攻击 漏洞说明:API接口存在SQL布尔盲注漏洞,攻击者可在未登录状态下对数据库发起攻击 POC代码: Sqlmap检测结果: --- 漏洞二:/admin-api/system/mail-log/page SQL盲注 漏洞类型:SQL盲注(Blind SQL Injection) 利用条件:需要登录后访问对应API接口 弱口令:admin/admin123 POC代码: 请求头: --- 影响范围 项目:yudao-cloud(芋道管理系统) 版本:v2026.01 源码地址:https://github.com/YunaiV/yudao-cloud 受影响接口: - (未授权访问) - (需登录) --- 修复方案 1. 参数化查询:对所有用户输入参数使用预编译语句(PreparedStatement),避免直接拼接SQL 2. 输入验证:对 、 等参数进行严格的类型检查和格式验证 3. 最小权限原则:数据库连接账号使用最小权限,禁止执行敏感操作 4. WAF防护:部署Web应用防火墙,拦截SQL注入攻击特征 5. 代码审计:全面审计项目中其他类似API接口,排查同类漏洞