科拓全智能停车收费系统T_SellFrom.aspx存在SQL注入漏洞(DVB-2025-9011)

免责声明

仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权，请及时与我们联系，我们将尽快处理并删除相关内容。

一：产品介绍

科拓全智能停车收费系统是一款集车牌识别、电子支付、车位引导等功能于一体的智能化停车管理平台，通过物联网技术和云计算实现无人值守停车管理，支持微信/支付宝等移动支付方式，具备车位状态实时监测、停车费自动结算、数据统计分析等核心功能，广泛应用于商业综合体、住宅小区和公共停车场，有效提升停车管理效率和用户体验，但其部分版本存在的安全漏洞（如T_SellFrom.aspx页面的SQL注入问题）可能被恶意利用，需及时升级修复以确保系统安全性。

二：漏洞描述

科拓全智能停车收费系统的T_SellFrom.aspx页面存在SQL注入漏洞，攻击者可通过构造恶意请求参数，利用未经过滤的用户输入直接拼接至数据库查询语句中，从而执行任意SQL命令，可能导致敏感数据泄露、数据库信息篡改或服务器权限沦陷，严重威胁系统及用户数据安全。

三：复现环境

body="/Sys/CommonJs/artDialog/skins/sim