CVE-2025-12465 - QuickCMS中的盲SQL注入
概述
CVE-2025-12465是一个在QuickCMS中发现的盲SQL注入漏洞。由于高权限用户在aFilesDelete功能中提供的输入未能被正确中和,导致了盲SQL注入攻击的可能性。
供应商很早就收到了此漏洞的通知,但并未回应有关漏洞细节或受影响版本范围的详细信息。仅版本6.8经过测试并被确认存在漏洞,其他版本未经测试,可能同样易受攻击。
关键信息
- 发布日期:2025年12月2日 13:15
- 最后修改日期:2025年12月2日 17:16
- 远程利用:是
- 信息来源:cvd@cert.pl
受影响产品
以下产品受到CVE-2025-12465漏洞的影响。即使cvefeed.io知晓受影响产品的确切版本,下表也未显示该信息。
| ID | 供应商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Opensolution | quick.cms |
受影响供应商总数:1 | 产品数:1
CVSS评分
通用漏洞评分系统(CVSS)是评估软件和系统中漏洞严重性的标准化框架。我们收集并显示每个CVE来自不同来源的CVSS分数。
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.6 | CVSS 4.0 | 高 | - | - | - | 4bb8329e-dd38-46c1-aafb-9bf32bcb93c6 |
| 8.6 | CVSS 4.0 | 高 | - | - | - | cvd@cert.pl |
解决方案
通过清理用户输入和应用供应商补丁来解决SQL注入问题。
- 清理所有用户提供的输入。
- 应用任何可用的供应商安全更新。
- 限制文件删除权限。
- 审查输入处理是否存在不当的中和情况。
咨询、解决方案和工具参考
此处,您将找到与CVE-2025-12465相关的提供深入信息、实用解决方案和有价值工具的外部链接精选列表。
CWE - 通用缺陷枚举
CVE标识特定的漏洞实例,而CWE则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-12465与以下CWE相关联:
- CWE-89:SQL命令中使用的特殊元素中和不当(‘SQL注入’)
常见攻击模式枚举与分类(CAPEC)
常见攻击模式枚举与分类(CAPEC)存储攻击模式,这些模式描述了攻击者利用CVE-2025-12465弱点的常用属性和方法。
- CAPEC-7: 盲SQL注入
- CAPEC-66: SQL注入
- CAPEC-108: 通过SQL注入执行命令行
- CAPEC-109: 对象关系映射注入
- CAPEC-110: 通过SOAP参数篡改进行SQL注入
- CAPEC-470: 从数据库扩展对操作系统的控制
漏洞时间线详情
以下表格列出了CVE-2025-12465漏洞随时间所做的更改。漏洞历史详细信息有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特性的最新更改。
新CVE接收 来源: cvd@cert.pl 日期: 2025年12月2日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | 在QuickCMS中发现一个盲SQL注入漏洞。高权限用户在aFilesDelete功能中提供的输入未能被正确中和,导致了盲SQL注入攻击的可能性。供应商很早就收到了此漏洞的通知,但并未回应有关漏洞细节或受影响版本范围的详细信息。仅版本6.8经过测试并被确认存在漏洞,其他版本未经测试,可能同样易受攻击。 | |
| 添加 | CVSS V4.0 | AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
|
| 添加 | CWE | CWE-89 | |
| 添加 | 参考 | https://cert.pl/posts/2025/12/CVE-2025-12465/ |