OpenSolution QuickCMS软件SQL注入漏洞(CVE-2025-12465)披露

波兰CERT团队披露了OpenSolution QuickCMS软件中的Blind SQL注入漏洞(CVE-2025-12465),该漏洞存在于高权限用户的aFilesDelete功能中,允许攻击者进行盲注攻击。供应商未提供漏洞详细信息,仅确认6.8版本存在风险。

漏洞详情

CVE ID
CVE-2025-12465

发布日期
2025年12月2日

供应商
OpenSolution

产品
QuickCMS

受影响版本
6.8

漏洞类型(CWE)
特殊元素SQL命令中和不当(CWE-89),即SQL注入

报告来源
向CERT Polska报告

漏洞描述

CERT Polska收到关于OpenSolution QuickCMS软件漏洞的报告,并参与了漏洞披露的协调工作。

CVE-2025-12465漏洞:在QuickCMS中发现存在Blind SQL注入漏洞。高权限用户在aFilesDelete功能中提供的输入未得到适当处理,允许进行Blind SQL注入攻击。

供应商在早期已收到该漏洞通知,但未回应漏洞详情或受影响版本范围。仅对6.8版本进行了测试并确认存在漏洞,其他版本未经测试,也可能存在相同风险。

致谢

感谢Arkadiusz Marta负责任地报告此漏洞。

关于CERT Polska协调漏洞披露流程的更多信息,请访问:https://cert.pl/en/cvd/

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次