漏洞概述 漏洞名称: C4G Basic Laboratory Information System (BLIS) 3.4 - SQL Injection (SQL注入) 漏洞描述: C4G BLIS 是一个开源系统,用于跟踪患者、样本和实验室结果。该系统的 接口存在SQL注入漏洞。 作者: Carlos Avila 发布日期: 2019-02-21 影响范围 受影响软件: C4G Basic Laboratory Information System (BLIS) 受影响版本: 3.4 平台: PHP 测试环境: Windows 8.1 / Ubuntu Linux 修复方案 建议: 应用程序输入必须在整个项目开发过程中得到正确验证 (Application inputs must be validated correctly throughout the development of the project)。 POC/利用代码 以下是截图中提供的 sqlmap 利用过程及命令: 关键输出日志片段:**