摘要：该文档复现了CNVD-2025-21335漏洞，涉及1.24之前版本CMS的SQL注入问题。通过分析/app/admin/controller/Images.php中的batchCope函数，发现ids参数未经处理直接拼接到SQL语句，导致注入漏洞。复现步骤包括：搭建环境、定位漏洞点、登录后台访问/images路径、抓包测试ids参数。最终确认该功能存在SQL注入风险。该漏洞原理简单，通过I

Metasploit是全球领先的开源渗透测试框架，最新版本6.4.44支持macOS、Linux和Windows系统。商业版Metasploit Pro提供Web界面、智能利用、自动化凭证爆破等高级功能，包含1500+漏洞利用模块。2025年1月更新版本4.22.7主要改进包括：优化Pro版备份恢复流程、增强模块检查/运行功能、修复多个漏洞验证问题，并新增30多个漏洞利用模块，涵盖WordPres