概述
在DobryCMS中发现了一个SQL注入漏洞。用户向语言功能提供的输入未经适当处理,导致可能发生SQL注入攻击。
此问题影响该软件的旧版本分支。
漏洞信息
发布日期:2025年10月24日 15:15
最后修改:2025年10月24日 15:15
远程利用:是
来源:cvd@cert.pl
受影响产品
目前尚未记录受影响的具体产品
- 受影响供应商总数:0
- 产品数量:0
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 9.3 | CVSS 4.0 | 严重 | - | - | - | 4bb8329e-dd38-46c1-aafb-9bf32bcb93c6 |
| 9.3 | CVSS 4.0 | 严重 | - | - | - | cvd@cert.pl |
解决方案
- 将DobryCMS更新到已修复的版本以修复SQL注入漏洞
- 立即应用供应商提供的补丁
- 验证所有用户输入以防止SQL注入
参考资源
CWE - 常见弱点枚举
CWE-89:SQL命令中使用的特殊元素未正确处理(SQL注入)
常见攻击模式枚举和分类(CAPEC)
- CAPEC-7:盲SQL注入
- CAPEC-66:SQL注入
- CAPEC-108:通过SQL注入执行命令行
- CAPEC-109:对象关系映射注入
- CAPEC-110:通过SOAP参数篡改进行SQL注入
- CAPEC-470:从数据库扩展对操作系统的控制
漏洞时间线
2025年10月24日 - 收到来自cvd@cert.pl的新CVE
变更记录:
- 添加了漏洞描述
- 添加了CVSS 4.0评分
- 添加了CWE-89分类
- 添加了参考链接
CVSS 4.0评分详情
基础CVSS分数:9.3
攻击向量:网络 攻击复杂性:低 攻击要求:无 所需权限:无 用户交互:无 机密性影响:高 完整性影响:高 可用性影响:低 次要范围机密性:无 次要范围完整性:无 次要范围可用性:无