CVE-2025-1751 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:SQL注入漏洞 (SQLi)。 💥 **后果**:数据库完全失控,数据可被窃取、篡改或删除。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-89 (SQL注入)。 📍 **缺陷点**:`/modules/ajaxBloqueaCita.php` 接口中的 `$idServicio` 参数未过滤。
Q3影响谁?(版本/组件)
🏢 **厂商**:ATISoluciones。 📦 **产品**:CIGES。 ⚠️ **版本**:2.15.5 及以下版本。
Q4黑客能干啥?(权限/数据)
🕵️ **权限**:无需认证 (PR:N)。 📊 **数据**:可执行 **CRUD** 全操作(检索、创建、更新、删除数据库内容)。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:极低。 🔓 **条件**:网络可达即可,无需用户交互,无需登录。
Q6有现成Exp吗?(PoC/在野利用)
📜 **Exp**:数据中未提供现成 PoC。 🌍 **在野**:暂无公开在野利用报告。
Q7怎么自查?(特征/扫描)
🔎 **自查**:扫描目标是否存在 `/modules/ajaxBloqueaCita.php` 路径。 🧪 **测试**:向 `$idServicio` 参数注入 SQL 测试语句。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方**:参考链接指向厂商安全页面,建议立即访问 `atisoluciones.com` 获取补丁。
Q9没补丁咋办?(临时规避)
🚧 **临时**:WAF 拦截 SQL 关键字;限制该 PHP 文件访问权限;移除 `$idServicio` 直接拼接逻辑。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急**。 📈 **CVSS**:9.1 (Critical)。 ⚡ **建议**:立即修复,高危漏洞且利用成本为零。