漏洞概述

Zoho公司发布紧急安全公告，披露影响Analytics Plus本地部署版本的严重SQL注入漏洞。该漏洞被追踪为CVE-2025-8324，CVSS评分为9.8分，允许未经认证的远程攻击者执行任意SQL查询，导致未经授权的数据暴露，严重情况下可导致账户接管。

漏洞详情

根据安全公告，“在Analytics Plus本地部署版本中发现了一个未经认证的SQL注入漏洞(CVE-2025-8324)。由于输入验证不足，此漏洞可能允许攻击者执行任意SQL查询。”

影响范围

• 所有低于6170版本的Analytics Plus本地部署构建
• Zoho已在Build 6171中提供修复补丁

风险分析

Zoho警告称，此漏洞的利用可能导致严重的数据泄露。 “此漏洞可能导致用户信息未经授权暴露，可能造成账户接管。”

由于该漏洞无需认证即可利用，攻击者不需要有效凭证即可发起攻击——这显著增加了任何暴露或未正确分段部署的风险。

Analytics Plus广泛用于企业分析、BI仪表板和数据处理工作流，当集成到敏感环境中时，此漏洞造成的危害尤为严重。

技术背景

公告指出，该漏洞源于Analytics Plus后端特定URL中对用户提供参数的不安全处理。Zoho确认已通过加强验证和移除故障组件来修补此问题。

考虑到SQL注入漏洞通常用于窃取数据库内容、篡改数据或提升权限，组织应将CVE-2025-8324视为高风险威胁。

修复措施

Zoho指示所有本地部署客户立即更新。

修复步骤包括：

1. 从官方服务包页面下载最新的升级包
2. 按照该页面提供的升级说明进行操作

相关安全事件

• Microsoft发布Windows分析工具检查Meltdown和Spectre防护
• CVE-2025-1723：Zoho修补ADSelfService Plus中的账户接管漏洞
• Zoho ManageEngine Desktop Central认证绕过漏洞警报