HIGHCVE-2018-25195CVSS 8.2

Wecodex Hotel CMS 1.0 通过管理员登录存在 SQL 注入 (SQL Injection)

平台

php

组件

wecodex-hotel-cms

修复版本

1.0.1

AI Confidence: highNVDEPSS 0.4%已审阅: 2026年5月

在NVD查看

保存

CVE-2018-25195 涉及 Wecodex Hotel CMS 1.0 中的一个 SQL 注入漏洞。未经身份验证的攻击者可以通过在 admin 登录功能中注入 SQL 代码来绕过身份验证，从而获取敏感信息或未经授权的管理员访问权限。受影响的版本是 Wecodex Hotel CMS 1.0。由于没有官方补丁，用户应采取其他安全措施来保护系统。

影响与攻击场景

Wecodex Hotel CMS 1.0 中的 CVE-2018-25195 漏洞对使用该系统的酒店构成重大安全风险。它是在管理登录功能中的 SQL 注入漏洞，允许未经身份验证的攻击者绕过身份验证。这意味着攻击者可以在没有有效凭证的情况下访问数据库，从而危及客户数据、预订详情、财务信息等敏感信息，并可能获得对 CMS 的完全管理访问权限。缺乏官方修复加剧了这种情况，使用户容易受到攻击。成功的利用可能导致系统控制权丧失、数据盗窃和酒店声誉受损。

利用背景

该漏洞是通过在 POST 请求中通过 'username' 参数发送恶意 SQL 负载来利用的，目标是 'index.php' 并带有 'processlogin' 操作。攻击者可以使用 Burp Suite 或 OWASP ZAP 等工具来自动化注入过程。由于无需身份验证即可利用该漏洞，因此它特别危险，因为任何拥有酒店网络访问权限的人都可能潜在地利用它。利用的简易性增加了自动化和大规模攻击的风险。

哪些人处于风险中翻译中…

Hotels and hospitality businesses utilizing Wecodex Hotel CMS version 1.0 are at direct risk. Specifically, those with publicly accessible instances of the CMS and those lacking robust input validation practices are particularly vulnerable. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.

检测步骤翻译中…

• php: Examine access logs for POST requests to index.php?action=processlogin containing unusual characters or SQL keywords in the username parameter.

 grep -i 'SELECT|UNION|INSERT|DELETE|UPDATE' /var/log/apache2/access.log | grep 'index.php?action=processlogin'

• generic web: Use curl to test the login endpoint with various SQL injection payloads in the username parameter and observe the response for errors or unexpected behavior.

curl -X POST -d "username='; DROP TABLE users;--&password=password" http://your-hotel-cms/index.php?action=processlogin

• database (mysql): If database access is possible, check for unauthorized user accounts or modified database schemas that could indicate compromise.

攻击时间线

2026-03-26Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.40% (60% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

受影响的软件

组件wecodex-hotel-cms

供应商Wecodex

影响范围修复版本

1.0 – 1.01.0.1

弱点分类 (CWE)

CWE-89

时间线

已保留2026-03-06
发布日期2026-03-26
修改日期2026-03-28
EPSS 更新日期2026-04-02

未修复 — 披露已59天

缓解措施和替代方案

由于 Wecodex 未提供官方修复程序，因此减轻 CVE-2018-25195 需要积极主动且复杂的措施。最重要的一点是，如果可用，请升级到 CMS 的更新版本。如果无法升级，建议实施 Web 应用程序防火墙 (WAF) 以过滤恶意流量并阻止 SQL 注入尝试。此外，应进行源代码的彻底安全审计，以识别和修复其他潜在漏洞。严格验证和清理所有用户输入，尤其是在登录表单中，至关重要。最后，积极监控服务器日志，以查找可疑活动。

修复方法

更新到已修补的版本或应用供应商推荐的安全措施，以缓解 SQL 注入 (SQL Injection) 漏洞。建议联系供应商以获取特定补丁或详细说明。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2018-25195 是什么 — Wecodex Hotel CMS 中的 SQL Injection？

SQL 注入是一种攻击类型，允许攻击者操纵数据库查询，访问机密信息或修改数据。

Wecodex Hotel CMS 中的 CVE-2018-25195 是否会影响我？

如果您正在使用 Wecodex Hotel CMS 版本 1.0，您很可能容易受到攻击。进行安全审计或聘请专业人士评估您的系统。

如何修复 Wecodex Hotel CMS 中的 CVE-2018-25195？

WAF（Web 应用程序防火墙）是一种安全工具，可保护 Web 应用程序免受常见的攻击，例如 SQL 注入。

CVE-2018-25195 是否正在被积极利用？

OWASP ZAP 和 Burp Suite 等工具可以帮助识别 SQL 注入漏洞。

在哪里可以找到 Wecodex Hotel CMS 关于 CVE-2018-25195 的官方安全通告？

隔离受影响的系统，更改所有密码，通知相关部门并进行全面的安全审计。