UNKNOWNCVE-2018-25208
CVE-2018-25208: qdPM SQL注入,数据库信息泄露
平台
php
组件
qdpm
CVE-2018-25208 揭示了 qdPM 9.1 中的一个 SQL 注入漏洞。未经身份验证的攻击者可以通过注入 SQL 代码到 filter_by 参数中来提取数据库信息。受影响的版本是 qdPM 9.1。由于没有官方补丁,用户应采取其他安全措施来保护系统。
修复方法
将 qdPM 更新到高于 9.1 的版本,该版本解决了 SQL 注入 (SQL Injection) 漏洞。如果没有可用版本,建议应用安全补丁,该补丁可以正确过滤和转义 timeReport 端点中 filter_by[CommentCreatedFrom] 和 filter_by[CommentCreatedTo] 参数的输入。
常见问题
什么是 CVE-2018-25208?
CVE-2018-25208 是 qdPM 9.1 中的一个 SQL 注入漏洞,允许攻击者通过 filter_by 参数注入 SQL 代码。
我是否受到 CVE-2018-25208 的影响?
如果您正在使用 qdPM 9.1 版本,则可能受到此漏洞的影响。
如何修复 CVE-2018-25208?
目前没有官方补丁。建议采取安全措施,例如输入验证、参数化查询,以减轻此漏洞的风险。