CVE-2019-25444 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:SQL注入漏洞 💥 **后果**:攻击者可操纵数据库查询,导致数据泄露或被篡改。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-89 (SQL注入) 📍 **缺陷点**:`page` 参数未做过滤,直接拼接到SQL语句中。
Q3影响谁?(版本/组件)
🏢 **厂商**:Phpscriptsmall 📦 **产品**:Fiverr Clone Script 📌 **版本**:1.2.2
Q4黑客能干啥?(权限/数据)
👮 **权限**:未授权攻击者 📊 **数据**:可读取、修改或删除数据库内容(高机密性/完整性影响)。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:极低 🔑 **认证**:无需认证 (PR:N) 🌐 **网络**:远程利用 (AV:N) ⚡ **复杂度**:低 (AC:L)
Q6有现成Exp吗?(PoC/在野利用)
💣 **ExploitDB**:46637 📄 **VulnCheck**:有详细公告 ⚠️ **状态**:已有公开利用代码。
Q7怎么自查?(特征/扫描)
🔎 **扫描**:检测 `page` 参数是否包含SQL注入特征(如 `'`, `OR 1=1`)。 📡 **工具**:使用SQLMap或WAF规则匹配异常SQL语句。
Q8官方修了吗?(补丁/缓解)
🛠️ **补丁**:数据未提供具体补丁链接。 📢 **建议**:联系厂商 Phpscriptsmall 获取更新或修复代码。
Q9没补丁咋办?(临时规避)
🛡️ **缓解**: 1. 对 `page` 参数进行严格的**输入验证**(仅允许数字)。 2. 使用**参数化查询**(Prepared Statements)。 3. 部署WAF拦截SQL注入Payload。
Q10急不急?(优先级建议)
🔥 **优先级**:高 (CVSS 9.8) ⚡ **行动**:立即修复!无需认证即可远程利用,危害极大。