平台
php
组件
adanti
修复版本
5.5.1
CVE-2018-25257 是 Adianti Framework 5.5.0 和 5.6.0 中发现的一个 SQL 注入漏洞。该漏洞允许经过身份验证的用户通过在 SystemProfileForm 的 name 字段中注入 SQL 代码来操纵数据库查询。攻击者可以提交构造的 SQL 语句到 profile edit 端点,以修改用户凭证并获得管理访问权限。
Adianti Framework (版本 5.5.0 和 5.6.0) 中的 CVE-2018-25257 带来了显著的 SQL 注入风险。经过身份验证的攻击者可以通过向 SystemProfileForm 表单中的“名称”字段注入恶意 SQL 代码来利用此漏洞。这种操作允许修改数据库查询,从而可能导致用户凭据更改,包括获得管理员权限。潜在影响包括完全控制系统、敏感数据泄露和服务中断。缺乏官方修复(fix)加剧了这种情况,需要采取替代的缓解措施。在数据库安全至关重要的环境中,此漏洞尤其令人担忧。
该漏洞通过用户个人资料编辑端点进行利用。拥有系统内有效帐户的经过身份验证的攻击者可以向个人资料编辑端点发送 HTTP POST 请求,并操纵“名称”字段的值以包含恶意 SQL 代码。此 SQL 代码将在数据库中直接执行,允许攻击者修改数据、创建具有管理员权限的新用户,或执行操作系统命令(取决于数据库配置)。攻击者事先的身份验证简化了利用过程,因为他们无需破坏登录凭据即可利用此漏洞。利用过程的简单性使此漏洞特别危险。
漏洞利用状态
EPSS
0.03% (8% 百分位)
CISA SSVC
由于 Adianti Framework 开发人员没有提供官方修复程序,因此减轻 CVE-2018-25257 需要采取积极和多方面的措施。最直接的措施是升级到已修补此漏洞的 Framework 版本(如果可用)。如果无法更新,请在 SystemProfileForm 表单中的“名称”字段上实施严格的输入验证和清理,以防止 SQL 代码注入。此外,请应用最小权限原则,确保用户帐户仅具有执行其任务所需的权限。持续监控数据库中是否存在可疑活动对于检测和响应潜在攻击至关重要。最后,请考虑实施 Web 应用程序防火墙 (WAF) 以提供额外的保护层。
Actualice el Adianti Framework a una versión corregida que solucione la vulnerabilidad de inyección SQL en el formulario de perfil. Consulte la documentación oficial del framework o las notas de la versión para obtener instrucciones específicas sobre cómo realizar la actualización.
漏洞分析和关键警报直接发送到您的邮箱。
版本 5.5.0 和 5.6.0 是已确认容易受到攻击的版本。
截至目前,Adianti Framework 开发人员没有提供官方修复程序。
实施输入验证和清理,应用最小权限原则,并监控数据库中是否存在可疑活动。考虑使用 WAF。
数据库中存储的所有数据,包括用户凭据、个人信息和业务数据。
如果可能,升级到已修补的版本是最佳选择。否则,实施缓解措施至关重要。
CVSS 向量