WooYun.org

在
phpwind/lib/utility/querybuilder.class.php
_parseStatement函数内
在/phpwind/actions/ajax/leaveword.php
的一个引用处
Line 78行
$db->update(pwQuery::buildClause("UPDATE :pw_table SET leaveword=" . S::sqlEscape($atc_content) . " $sqladd WHERE pid=:pid AND tid=:tid", array($pw_posts, $pid, $tid)));
没考虑$atc_content内可能会有占位符
也没有考虑pid应该为数字，直接取了字符串
Line：31
S::gp(array(
'pid',
'atc_content',
'ifmsg'
), 'P');
导致SQL注入
但是由于PW替换了等于号，替换了),无法导致非常严重的SQL注入漏洞。
当提交pid=asd，atc_content为:pid的情况下提示
Query Error: UPDATE pw_posts SET leaveword= ' 'asd' ' WHERE pid= 'asd' AND tid= ''