HIGHCVE-2018-25183CVSS 8.2

CVE-2018-25183 Shipping System CMS SQL注入漏洞及修复

平台

php

组件

shipping-system-cms

修复版本

1.0.1

AI Confidence: highNVDEPSS 0.4%已审阅: 2026年3月

在NVD查看

保存

CVE-2018-25183 涉及 Shipping System CMS 1.0 软件中的一个 SQL 注入漏洞。该漏洞允许未经身份验证的攻击者通过 username 参数注入 SQL 代码，从而绕过身份验证。受影响的版本是 1.0。由于没有官方补丁，用户需要采取其他缓解措施来保护系统。

影响与攻击场景

CVE-2018-25183 影响 Shipping System CMS 1.0 版本，存在于管理员登录表单的 'username' 参数中的 SQL 注入漏洞。此漏洞允许未经身份验证的攻击者绕过身份验证，潜在地获取敏感信息或控制系统。根据 CVSS，该漏洞的严重程度评分为 8.2，表明高风险。利用是通过基于布尔值的盲 SQL 注入技术实现的，通过向登录端点发送恶意 POST 请求。缺乏官方修复程序 (fix: none) 加剧了情况，如果未采取预防措施，将使用户面临攻击。由于无需任何先前的身份验证即可利用此漏洞，因此此漏洞尤其令人担忧。

利用背景

该漏洞通过 Shipping System CMS 1.0 的管理员登录表单进行利用。攻击者可以通过向登录端点发送操作过的 POST 请求，使用 'username' 参数注入恶意 SQL 代码。基于布尔值的盲 SQL 注入技术允许攻击者在不接收服务器直接响应的情况下确定数据库结构并提取信息。这通过发送包含不同 SQL 条件的多个请求并分析系统响应时间或行为来完成，以推断条件是否为真或假。由于无需身份验证即可利用此漏洞，因此它特别危险，因为任何攻击者都可能尝试破坏系统。

哪些人处于风险中翻译中…

Organizations using Shipping System CMS version 1.0, particularly those with publicly accessible admin login pages, are at significant risk. Shared hosting environments where multiple users share the same CMS instance are also vulnerable, as a compromise of one user could lead to the compromise of the entire system.

检测步骤翻译中…

• php: Examine web server access logs for POST requests to the admin login endpoint containing suspicious SQL syntax in the username parameter (e.g., ';--, OR 1=1). • generic web: Use curl to test the login endpoint with various SQL injection payloads in the username field and observe the response for unexpected behavior or errors.

curl -X POST -d "username=test;--&password=password" http://your-shipping-system-cms/admin/login.php

攻击时间线

2026-03-26Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.40% (60% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

受影响的软件

组件shipping-system-cms

供应商Wecodex

影响范围修复版本

1.0 – 1.01.0.1

弱点分类 (CWE)

CWE-89

时间线

已保留2026-03-06
发布日期2026-03-26
EPSS 更新日期2026-04-02

未修复 — 披露已59天

缓解措施和替代方案

由于 CVE-2018-25183 没有官方补丁，因此缓解措施侧重于保护 Shipping System CMS 1.0 系统的替代安全措施。如果可用，强烈建议升级到 CMS 的更新版本。在没有更新的情况下，应实施额外的安全控制措施，例如严格验证和清理所有用户输入，尤其是 'username' 参数。实施 Web 应用程序防火墙 (WAF) 可以帮助检测和阻止 SQL 注入尝试。此外，应积极监控系统日志以查找可疑活动，并限制对数据库的访问权限仅限于授权用户。网络分段也可以减少潜在安全漏洞的影响。

修复方法

更新到已修补的版本或应用供应商推荐的安全措施，以缓解 SQL 注入 (SQL Injection) 漏洞。建议验证和清理用户输入，以防止注入恶意 SQL 代码。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2018-25183 是什么 — Shipping System CMS 中的 SQL Injection？

这是一种利用技术，攻击者注入 SQL 代码并分析系统行为（如响应时间）以推断有关数据库的信息，而无需接收错误消息或直接结果。

Shipping System CMS 中的 CVE-2018-25183 是否会影响我？

由于没有补丁，如果可能请升级到更新版本。否则，实施额外的安全措施，例如输入验证、WAF 和日志监控。

如何修复 Shipping System CMS 中的 CVE-2018-25183？

是的，缺乏身份验证允许攻击者通过互联网远程利用此漏洞。

CVE-2018-25183 是否正在被积极利用？

存储在 CMS 数据库中的所有数据，包括用户信息、运输详情和配置数据。

在哪里可以找到 Shipping System CMS 关于 CVE-2018-25183 的官方安全通告？

有漏洞扫描器和渗透测试工具可以帮助识别 Web 应用程序中是否存在 SQL 注入。