Zchat 1.5 SQL 注入漏洞总结 漏洞概述 漏洞名称:Zchat 1.5 SQL Injection via v parameter (time-based blind) 漏洞类型:SQL注入(基于时间的盲注) 严重程度:HIGH 发布日期:2026年5月17日 CVSS v4 向量:CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VSA:N/SC:N/SI:N/SA:N 影响范围 受影响软件:Zchat 1.5 攻击条件:无需认证 攻击向量:通过 参数注入 攻击效果:攻击者可以利用基于时间的盲注技术提取数据库信息 修复方案 官方产品主页:Official Product Homepage (注:实际链接需访问原页面获取) 建议措施: - 更新 Zchat 至安全版本 - 对 参数进行严格的输入验证和过滤 - 使用参数化查询或预编译语句防止SQL注入 参考链接 CVE编号:CVE-2018-23339 相关CVE:CVE-89 (Improper Neutralization of Special Elements used in an SQL Command) 报告人:Borna nematzadeh (LORD) / borna.nematzadeh123@gmail.com 技术描述 Zchat 1.5 的 参数存在SQL注入漏洞,允许未经身份验证的攻击者使用基于时间的盲注技术提取数据库信息。攻击者可以通过基于时间的盲注注入来确认漏洞并提取数据。