HIGHCVE-2018-25209CVSS 8.2

OpenBiz Cubi Lite 3.0.8 通过 username 参数存在 SQL 注入 (SQL Injection)

Q: 如何修复 OpenBiz Cubi Lite 中的 CVE-2018-25209？

目前，开发商没有提供官方修复程序。

平台

php

组件

openbiz-cubi-lite

修复版本

3.0.9

AI Confidence: highNVDEPSS 0.3%已审阅: 2026年3月

在NVD查看

保存

CVE-2018-25209 涉及 OpenBiz Cubi Lite 3.0.8 中的一个 SQL 注入漏洞。未经身份验证的攻击者可以通过在 username 参数中注入 SQL 代码来操纵数据库查询，从而可能导致敏感信息泄露或绕过身份验证。受影响的版本是 OpenBiz Cubi Lite 3.0.8。由于没有官方补丁，用户应采取其他安全措施来保护系统。

影响与攻击场景

OpenBiz Cubi Lite 3.0.8 中的 CVE-2018-25209 漏洞由于登录表单中的 SQL 注入漏洞而构成重大风险。未经身份验证的攻击者可以通过向 /bin/controller.php 发送带有 'username' 参数中恶意 SQL 代码的 POST 请求来利用此漏洞。这允许操纵数据库查询，从而可能导致提取敏感信息，例如用户凭据、客户数据或配置详细信息。在最坏的情况下，攻击者可能会控制数据库并破坏系统的完整性。缺少官方修复程序（补丁）加剧了这种情况，直到实施纠正措施，用户才将处于脆弱状态。

利用背景

该漏洞是通过操纵针对 /bin/controller.php 的 POST 请求中的 'username' 参数来利用的。攻击者可以将恶意 SQL 代码注入到此字段中，然后将其针对数据库执行。缺乏适当的输入验证允许 SQL 代码被解释为查询的一部分，而不是作为文本字符串。由于此漏洞不需要身份验证，因此任何具有网络访问权限的人都可以尝试利用它，因此此漏洞特别危险。漏洞的简单性使其成为各种技能水平的攻击者的有吸引力的目标。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.27% (50% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件openbiz-cubi-lite

供应商Sourceforge

影响范围修复版本

v3.0.8 – v3.0.83.0.9

弱点分类 (CWE)

CWE-89

时间线

已保留2026-03-26
发布日期2026-03-26
EPSS 更新日期2026-04-02

未修复 — 披露已59天

缓解措施和替代方案

由于 OpenBiz Cubi Lite 开发商没有提供官方补丁，因此减轻 CVE-2018-25209 需要采取积极主动的方法。如果可用，强烈建议升级到软件的更新版本。如果无法升级，则应实施额外的安全措施，例如严格验证和清理所有用户输入，尤其是在登录表单中。部署 Web 应用程序防火墙 (WAF) 可以帮助检测和阻止 SQL 注入攻击。此外，应限制对数据库的访问，并监控任何可疑活动。定期对代码进行漏洞审计也很关键。

修复方法

将 OpenBiz Cubi Lite 更新到高于 3.0.8 的版本，该版本修复了 SQL 注入 (SQL Injection) 漏洞。如果没有可用版本，建议禁用或删除该软件，直到发布解决方案。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2018-25209 是什么 — OpenBiz Cubi Lite 中的 SQL Injection？

它是 OpenBiz Cubi Lite 中特定安全漏洞的唯一标识符。

OpenBiz Cubi Lite 中的 CVE-2018-25209 是否会影响我？

如果您正在使用 OpenBiz Cubi Lite 版本 3.0.8，则很可能容易受到攻击。

如何修复 OpenBiz Cubi Lite 中的 CVE-2018-25209？