CVE-2025-15148：CmsEasy 中的代码注入漏洞

严重性：中等 类型：漏洞

CVE ID：CVE-2025-15148

描述 在 CmsEasy 7.7.7 及更早版本中发现一个缺陷。受影响的组件是后端模板管理页面（Backend Template Management Page）中 /lib/admin/template_admin.php 库里的函数 savetemp_action。对参数 content/tempdata 执行操纵可导致代码注入。攻击可以远程发起。该漏洞利用方式已公开，并可能被使用。供应商在早期就被告知此披露信息，但未作出任何回应。

技术细节

• 数据版本：5.2
• 分配者简称：VulDB
• 发布日期：2025-12-28 (2025年12月28日，18:02:08 UTC)
• 来源：CVE Database V5
• 产品：CmsEasy
• Cvss 版本：4.0
• 状态：已发布
• 威胁 ID：69517496fd294cd93b13d774
• 添加到数据库时间：2025年12月28日，下午6:19:02
• 最后更新时间：2025年12月29日，上午4:09:26
• 浏览量：13

相关信息

• 该漏洞的社区评论和缓解策略讨论尚在进行中。
• 提供了相关威胁的链接，如 CVE-2025-15169（BiggiDroid Simple PHP CMS 中的 SQL 注入）、CVE-2025-52691（SmarterTools SmarterMail 中的漏洞）等。

外部链接

• NVD 数据库
• MITRE CVE
• 多个参考链接

安全建议 鉴于该漏洞的利用代码已公开，建议使用 CmsEasy 7.7.7 及更早版本的用户密切关注官方补丁或采取临时缓解措施。如需事件响应和修复帮助，可考虑相关安全服务。