OpenSTAManager：通过 `options[stato]` 参数进行基于时间的盲注 SQL 注入（SQL Injection）

OpenSTAManager 是一款用于技术援助和发票的开源管理软件。在 2.10.2 之前的版本中，OpenSTAManager 中的多个 AJAX 选择处理程序容易受到通过 options[stato] GET 参数进行基于时间的盲注 SQL 注入（SQL Injection）的攻击。用户提供的值从 $superselect['stato'] 读取，并直接连接到 SQL WHERE 子句中作为裸表达式，没有任何清理、参数化或允许列表验证。经过身份验证的攻击者可以注入任意 SQL 语句，以从数据库中提取敏感数据，包括用户名、密码哈希、财务记录以及存储在 MySQL 数据库中的任何其他信息。此问题已在 2.10.2 版本中修复。