概述
CVE-2025-62606
my little forum在书签重新排序功能中通过bookmarks参数存在SQL注入漏洞
漏洞描述
my little forum是一个基于PHP和MySQL的互联网论坛,以经典线程视图显示消息。在2.5.12版本之前,书签重新排序功能中存在经过身份验证的SQL注入漏洞,允许任何登录用户执行任意SQL命令。这可能导致应用程序数据库完全被攻陷,包括读取、修改或删除所有数据。此问题已在2.5.12版本中修复。
漏洞时间线
- 发布日期:2025年10月22日 15:16
- 最后修改:2025年10月22日 21:12
- 远程利用:是
- 来源:security-advisories@github.com
受影响产品
目前尚未记录受影响的具体产品 总受影响供应商:0 | 产品:0
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.8 | CVSS 3.1 | 高 | 2.8 | 5.9 | security-advisories@github.com |
解决方案
- 将论坛软件更新到2.5.12或更高版本以修复SQL注入漏洞
- 应用供应商提供的安全补丁
- 更新后验证数据库完整性
参考链接
- https://github.com/My-Little-Forum/mylittleforum/releases/tag/20251021.1
- https://github.com/My-Little-Forum/mylittleforum/security/advisories/GHSA-m8hj-c6gr-6h6v
CWE - 常见弱点枚举
CWE-89: SQL命令中使用的特殊元素的不当中和(SQL注入)
常见攻击模式枚举和分类(CAPEC)
- CAPEC-7: 盲SQL注入
- CAPEC-66: SQL注入
- CAPEC-108: 通过SQL注入执行命令行
- CAPEC-109: 对象关系映射注入
- CAPEC-110: 通过SOAP参数篡改进行SQL注入
- CAPEC-470: 从数据库扩展对操作系统的控制
漏洞历史记录
2025年10月22日 - CVE由security-advisories@github.com新增
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增 | 描述 | my little forum是… | |
| 新增 | CVSS V3.1 | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | |
| 新增 | CWE | CWE-89 | |
| 新增 | 参考链接 | https://github.com/My-Little-Forum/mylittleforum/releases/tag/20251021.1 | |
| 新增 | 参考链接 | https://github.com/My-Little-Forum/mylittleforum/security/advisories/GHSA-m8hj-c6gr-6h6v |
2025年10月22日 - CVE由134c704f-9b21-4f2e-91b3-4a467353bcc0修改