HIGHCVE-2019-25672CVSS 8.2

PilusCart 1.4.1 SQL Injection via send 参数

平台

php

组件

piluscart

修复版本

1.4.2

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2019-25672 是一个影响 PilusCart 1.4.1 的SQL注入漏洞，允许未经身份验证的攻击者通过注入恶意SQL代码来操纵数据库查询。这种漏洞可能导致敏感信息泄露，甚至可能被用于执行未经授权的操作。该漏洞影响 PilusCart 1.4.1 版本，目前尚未发布官方补丁。

影响与攻击场景

CVE-2019-25672 影响 PilusCart 1.4.1 版本，暴露了评论提交端点 'send' 参数中的 SQL 注入漏洞。未经身份验证的攻击者可以利用此漏洞操纵 SQL 查询，从而可能从数据库中提取敏感信息。此漏洞利用 RLIKE 类型的布尔 SQL 注入有效载荷，允许通过 POST 请求提取数据。根据 CVSS，此漏洞的严重程度评分为 8.2，表明存在重大风险。缺乏官方修复程序 (fix: none) 会加剧这种情况，需要紧急的缓解措施来保护受影响的系统。缺乏 KEV (知识条目验证) 表明此漏洞可能未被广泛认知或记录在安全知识库中。

利用背景

该漏洞通过针对 PilusCart 1.4.1 中评论提交端点的 POST 请求进行利用。攻击者将恶意 SQL 代码注入到 'send' 参数中，使用 RLIKE 有效载荷来构建从数据库提取数据的布尔查询。缺乏身份验证允许任何攻击者，甚至未经注册的用户，尝试利用此漏洞。利用成功取决于数据库配置和现有的安全措施。利用的复杂性相对较低，使其成为未修补系统的重大风险。

哪些人处于风险中翻译中…

Organizations and individuals using PilusCart version 1.4.1–1.4.1, particularly those with sensitive customer data or financial information, are at significant risk. Shared hosting environments where multiple websites share the same PilusCart installation are especially vulnerable, as a compromise of one site could potentially impact others.

检测步骤翻译中…

• php / server:

grep -r 'send parameter' /var/log/apache2/access.log
grep -r 'RLIKE' /var/log/apache2/access.log

• generic web:

curl -I 'http://your-piluscart-site.com/comment.php?send=RLIKE' # Check for unusual response headers

攻击时间线

2026-04-05Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.08% (24% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件piluscart

供应商pilus

影响范围修复版本

1.4.1 – 1.4.11.4.2

弱点分类 (CWE)

CWE-89

时间线

已保留2026-04-05
发布日期2026-04-05
修改日期2026-04-06
EPSS 更新日期2026-04-13

未修复 — 披露已49天

缓解措施和替代方案

由于 PilusCart 1.4.1 中没有针对 CVE-2019-25672 的官方补丁，因此缓解措施侧重于防御性措施。如果可用，强烈建议升级到 PilusCart 的较新版本，因为后续版本可能已解决了此漏洞。同时，严格验证和清理所有用户输入，尤其是 'send' 参数至关重要。使用参数化查询或存储过程可以帮助防止 SQL 注入。此外，限制数据库访问并监控可疑活动有助于检测和响应潜在攻击。考虑使用 Web 应用程序防火墙 (WAF) 来过滤恶意流量。

修复方法翻译中…

Actualice PilusCart a una versión corregida.  Verifique las fuentes oficiales de PilusCart para obtener información sobre las actualizaciones disponibles y siga las instrucciones de instalación proporcionadas.  Como medida de seguridad adicional, implemente validación y saneamiento de entradas en todas las interacciones del usuario para prevenir futuras inyecciones SQL.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2019-25672 是什么 — PilusCart 中的 SQL Injection？

SQL 注入是一种攻击技术，允许攻击者通过在用户输入中插入恶意代码来操纵 SQL 查询。

PilusCart 中的 CVE-2019-25672 是否会影响我？

如果您正在使用 PilusCart 1.4.1 版本，则很可能容易受到攻击。进行渗透测试或使用漏洞扫描工具来确认。

如何修复 PilusCart 中的 CVE-2019-25672？

检查服务器日志中是否存在可疑活动。更改数据库密码并采取措施加强您系统的安全性。

CVE-2019-25672 是否正在被积极利用？

您可以使用 Web 应用程序防火墙 (WAF) 或漏洞扫描工具来帮助缓解风险。

在哪里可以找到 PilusCart 关于 CVE-2019-25672 的官方安全通告？

您可以在漏洞数据库（如 National Vulnerability Database (NVD)）中找到有关 CVE-2019-25672 的更多信息。