HaPe PKH 1.1 SQL Injection via desa Parameter 漏洞概述 HaPe PKH 1.1 存在一个 SQL 注入漏洞,允许未经身份验证的攻击者通过向 发送的 'desa' POST 参数注入 SQL 代码,从而操纵数据库查询。攻击者可以发送带有时间盲注有效载荷的精心构造的请求,以推断和提取敏感的数据库信息。 影响范围 受影响产品: HaPe PKH <= 1.1 严重性: 高 发布日期: 2026年5月29日 CVE: CVE-2018-25390 CWE: CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') CVSS: 8.8 CVSS V4 Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N 修复方案 参考链接: - ExploitDB-45588 - Official Product Homepage - Product Reference 利用代码