漏洞描述:

在PHPGurukul Smаll CRM 4.0中发现一个弱点,这影响了文件/fоrɡоt-раѕѕԝоrd.рhр中的未知函数,通过操纵参数еmаil可能导致SQL注入攻击可远程发起该漏洞利用代码已公开可能被利用。

攻击场景:

攻击者可通过远程访问/forgot-password.php接口利用email 参数构造恶意输入触发未正确过滤的SQL查询逻辑从而实施SQL注入攻击可能导致敏感数据泄露、身份认证绕过或进一步的远程代码执行

影响产品:

4.0 

修复建议:

安装补丁:

暂无官方补丁

建议采取以下措施:

1.使用预处理语句和参数绑定

2.进行输入验证和过滤

3.最小化数据库用户权限

文章来源：飓风网络安全