漏洞概述 漏洞编号: CVE-2026-50890 漏洞类型: SQL注入 受影响版本: grocy 4.6.0 漏洞描述: 在grocy 4.6.0中,当使用 时, 查询参数会被拼接到库存支出报告的SQL查询中。如果 既不是 也不是 ,控制器会将提交的 值拼接到SQL的 子句中,而不是将其作为参数绑定。这导致已登录用户可以注入SQL到报告查询路径中。 影响范围 影响: 已认证的SQL注入,攻击者可以读取或修改由应用程序的SQLite连接可访问的数据,具体取决于数据库权限和注入语句的行为。 限制: 代码执行通过自定义包含路径未在目标上确认。 修复方案 修复建议: 对 参数进行验证,确保其值只能是 或 ,或者将其作为参数绑定到SQL查询中,而不是直接拼接到查询字符串中。 POC代码