CVE-2025-13811: jsnjfz WebStack-Guns PageFactory.java SQL 注入漏洞 (EUVD-2025-199959)

摘要

在 jsnjfz WebStack-Guns 1.0 中发现了一个漏洞，被归类为严重。该漏洞影响了文件 src/main/java/com/jsnjfz/manage/core/common/constant/factory/PageFactory.java 中的某些未知处理过程。对参数 sort 的操纵会导致 SQL 注入。

此漏洞记录为 CVE-2025-13811。攻击可以远程发起。此外，已存在公开的漏洞利用程序。

供应商很早就收到了有关此漏洞披露的通知，但未作出任何回应。

详情

在 jsnjfz WebStack-Guns 1.0 中发现了一个被归类为严重的漏洞。此问题影响了文件 src/main/java/com/jsnjfz/manage/core/common/constant/factory/PageFactory.java 中的一个未知代码块。使用未知输入对参数 sort 的操纵导致了 SQL 注入漏洞。使用 CWE 来声明此问题，可归为 CWE-89。该产品使用来自上游组件的外部影响输入来构建全部或部分 SQL 命令，但在将其发送到下游组件时，未能消除或未能正确消除可能修改预期 SQL 命令的特殊元素。受影响的是机密性、完整性和可用性。

安全公告发布于 github.com。此漏洞的标识为 CVE-2025-13811。已知利用难度较低。攻击可以远程发起。技术细节以及公开的漏洞利用程序已知。MITRE ATT&CK 项目对此问题使用了攻击技术 T1505。漏洞利用程序可在 github.com 获取，被声明为概念验证。供应商很早就收到了有关此披露的通知，但未作出任何回应。目前没有已知的可能对策信息。建议用替代产品替换受影响的组件。该漏洞也记录在漏洞数据库 EUVD (EUVD-2025-199959) 中。与此漏洞相关的条目可在 VDB-312569、VDB-322220、VDB-327190 和 VDB-327191 中找到。

产品信息

• 供应商: jsnjfz
• 名称: WebStack-Guns
• 版本: 1.0

CVSS评分

• VulDB Meta 基础评分: 6.6
• VulDB Meta 临时评分: 6.4
• VulDB 基础评分: 6.3
• VulDB 临时评分: 5.7
• NVD 基础评分: 7.2
• CNA 基础评分: 6.3

漏洞利用信息

• 类别: SQL 注入
• CWE: CWE-89 / CWE-74 / CWE-707
• 远程利用: 是
• 访问权限: 公开
• 状态: 概念验证
• 当前漏洞利用价格估算: 0 - 5千美元

威胁情报

• CTI 兴趣评分: 1.18

应对措施

• 建议: 暂无已知缓解措施

时间线

• 2025年11月30日: 安全公告披露
• 2025年11月30日: VulDB 条目创建
• 2025年12月05日: VulDB 条目最后更新

来源

• 安全公告: github.com
• CVE: CVE-2025-13811
• EUVD: 🔒
• scip 实验室: https://www.scip.ch/en/?labs.20161013

条目信息

• 创建于: 2025年11月30日 下午06:10
• 更新于: 2025年12月05日 下午06:55
• 提交者: sh7err04
• 缓存 ID: 27:2DA:111

提交信息

• 已接受提交 #692084: WebStack-Guns Project WebStack-Guns 1.0 SQL 注入 (提交者: sh7err04)