/database.admincp.php模块 218行、223行、225行都存在同样的漏洞。 {$where}子句这里比较有意思,传入的必须是一个SQL的where语句,如POST参数: where=where...目录 该漏洞CNVD-ID:CNVD-2019-08479漏洞提交CNVD后,待CNVD公示才发出本文。测试环境: 程序版本:v7.0.14 Windows + firefox ...