概述
Admidio是一款开源用户管理解决方案。在4.3.17版本之前,Admidio的成员分配数据检索功能存在认证SQL注入漏洞。任何具有分配成员到角色权限的认证用户(如管理员)都可以利用此漏洞执行任意SQL命令,导致应用程序数据库完全被攻陷,包括读取、修改或删除所有数据。该问题已在4.3.17版本中修复。
漏洞详情
发布日期:2025年10月22日 22:15
最后修改:2025年10月22日 22:15
远程利用:是
漏洞来源:security-advisories@github.com
受影响产品
目前尚未记录受影响的具体产品信息:
- 受影响供应商总数:0
- 受影响产品数:0
CVSS评分
| 评分 | 版本 | 严重等级 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 7.2 | CVSS 3.1 | 高危 | - | 1.2 | 5.9 | security-advisories@github.com |
解决方案
- 将Admidio升级到4.3.17或更高版本以修复SQL注入漏洞
- 应用供应商提供的此漏洞补丁
公开PoC/漏洞利用
CVE-2025-62617在GitHub上有1个公开的PoC/漏洞利用。可前往"公开漏洞利用"选项卡查看列表。
参考链接
| URL | 资源 |
|---|---|
| https://github.com/Admidio/admidio/commit/fde81ae869e88a3cf42201f2548d57df785a37cb | |
| https://github.com/Admidio/admidio/security/advisories/GHSA-2v5m-cq9w-fc33 |
CWE - 通用弱点枚举
CVE-2025-62617与以下CWE相关:
- CWE-89:SQL命令中使用的特殊元素中和不当(SQL注入)
通用攻击模式枚举与分类(CAPEC)
与CVE-2025-62617弱点相关的攻击模式:
- CAPEC-7:盲SQL注入
- CAPEC-66:SQL注入
- CAPEC-108:通过SQL注入执行命令行
- CAPEC-109:对象关系映射注入
- CAPEC-110:通过SOAP参数篡改进行SQL注入
- CAPEC-470:从数据库扩展对操作系统的控制
GitHub仓库检测
fkie-cad/nvd-json-data-feeds
- 传统JSON NVD数据馈送的社区重建项目
- 最后更新:1小时前
- 182星,25分支,25观察者
- 创建于:2023年5月17日 8:00
- 此仓库已关联10个不同的CVE
漏洞时间线
2025年10月22日 - 收到来自security-advisories@github.com的新CVE
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | - | Admidio是开源用户管理解决方案… |
| 添加 | CVSS V3.1 | - | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
| 添加 | CWE | - | CWE-89 |
| 添加 | 参考 | - | https://github.com/Admidio/admidio/commit/fde81ae869e88a3cf42201f2548d57df785a37cb |
| 添加 | 参考 | - | https://github.com/Admidio/admidio/security/advisories/GHSA-2v5m-cq9w-fc33 |