概述
CVE-2025-11253是Aksis Technology Inc. Netty ERP系统中存在的一个SQL注入漏洞,CVSS 3.1评分为9.8分,属于严重级别。
漏洞描述
特殊元素在SQL命令中不当中和(SQL注入)漏洞存在于Aksis Technology Inc.的Netty ERP系统中,允许攻击者进行SQL注入攻击。此问题影响V.1.1000之前的所有Netty ERP版本。
漏洞时间线
- 发布日期:2025年10月24日上午9:15
- 最后修改:2025年10月24日上午9:15
- 远程利用:是
- 来源:iletisim@usom.gov.tr
受影响产品
目前尚未记录受影响的具体产品信息:
- 受影响供应商总数:0
- 产品数量:0
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 9.8 | CVSS 3.1 | 严重 | - | - | - | ca940d4e-fea4-4aa2-9a58-591a58b1ce21 |
| 9.8 | CVSS 3.1 | 严重 | - | 3.9 | 5.9 | iletisim@usom.gov.tr |
解决方案
- 将Netty ERP升级到V.1.1000或更高版本
- 应用供应商提供的安全补丁
- 对SQL查询中的所有用户输入进行清理
参考资源
CWE关联
CWE-89:在SQL命令中使用的特殊元素不当中和(SQL注入)
CAPEC攻击模式
- CAPEC-7:盲SQL注入
- CAPEC-66:SQL注入
- CAPEC-108:通过SQL注入执行命令行
- CAPEC-109:对象关系映射注入
- CAPEC-110:通过SOAP参数篡改进行SQL注入
- CAPEC-470:从数据库扩展对操作系统的控制
漏洞历史记录
2025年10月24日 - 由iletisim@usom.gov.tr收到新CVE
| 操作 | 类型 | 旧值 | 新值 |
|---|
| 添加 | CVSS V3.1 | - | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | | 添加 | CWE | - | CWE-89 | | 添加 | 参考 | - | https://www.usom.gov.tr/bildirim/tr-25-0359 |
CVSS 3.1评分详情
基础CVSS分数:9.8
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:无
- 范围:未改变
- 机密性影响:高
- 完整性影响:高
- 可用性影响:高