首页 CVE-2025-0929 神龙十问摘要 — 神龙十问 AI 深度分析摘要 更新于 2026-05-06
本页是神龙十问 AI 深度分析的
摘要版 。完整版(更长回答、追问、相关漏洞)需
登录查看 → Q1 这个漏洞是什么?(本质+后果) 🚨 **本质**:TeamCal Neo 存在 **SQL注入 (SQLi)** 漏洞。 💥 **后果**:攻击者可注入恶意 SQL 语句,导致数据库信息被 **检索、更新和删除**,数据完整性与机密性彻底丧失。
Q2 根本原因?(CWE/缺陷点) 🔍 **CWE ID**:**CWE-89** (Improper Neutralization of Special Elements used in an SQL Command)。 📍 **缺陷点**:参数 **`abs`** 在路径 `/teamcal/src/index.php` 中未进行正确的输入过滤或参数化处理。
Q3 影响谁?(版本/组件) 📦 **产品**:**TeamCal Neo** (George Lewe 开发的日历 Web 应用)。 📌 **受影响版本**:**3.8.2** 版本。
Q4 黑客能干啥?(权限/数据) 🕵️ **权限**:**无权限要求** (PR:N),无需登录即可利用。 🗄️ **数据影响**:**高危害** (C:H, I:H, A:H)。 👉 **能力**:可 **读取** 所有数据库内容、**修改** 数据、甚至 **删除** 整个数据库。
Q5 利用门槛高吗?(认证/配置) 🚪 **利用门槛**:**极低**。 ✅ **认证**:**不需要** (PR:N)。 ✅ **用户交互**:**不需要** (UI:N)。 ✅ **攻击向量**:**网络** (AV:N)。 ✅ **复杂度**:**低** (AC:L)。
Q6 有现成Exp吗?(PoC/在野利用) 📜 **PoC**:**有**。 🔗 **链接**:GitHub 上已有公开 PoC (McTavishSue/CVE-2025-0929)。 🌍 **在野利用**:数据未明确提及,但 PoC 公开意味着利用风险极高。
Q7 怎么自查?(特征/扫描) 🔎 **自查特征**:检查 Web 应用是否运行 **TeamCal Neo 3.8.2**。 🧪 **测试点**:向 `/teamcal/src/index.php` 发送请求,监测参数 **`abs`** 是否引发 SQL 错误或直接返回数据库内容。
Q8 官方修了吗?(补丁/缓解) 🛡️ **官方修复**:数据中 **未提供** 具体的补丁链接或修复版本信息。 ⚠️ **注意**:仅提供了参考链接 (incibe.es),需联系厂商或查阅官方公告获取最新修复方案。
Q9 没补丁咋办?(临时规避) 🚧 **临时规避**: 1. **WAF 防护**:配置 Web 应用防火墙,拦截 `/teamcal/src/index.php` 中 `abs` 参数的 SQL 关键字。 2. **访问控制**:限制该路径的访问权限,仅允许可信 IP。 3. **输入验证**:在代码层面严格过滤 `abs` 参数的输入。
Q10 急不急?(优先级建议) 🔥 **优先级**:**紧急 (Critical)**。 📊 **CVSS**:**9.1** (High)。 💡 **建议**:由于 **无需认证** 且 **危害极大** (完全控制数据库),建议 **立即** 采取缓解措施或升级版本。