一、 漏洞 CVE-2025-27378 基础信息
漏洞信息
# AES SQL注入漏洞
N/A
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
SQL Injection in AES Due to Inactive SQL Parsing Configuration
来源:美国国家漏洞数据库 NVD
漏洞描述信息
AES contains a SQL injection vulnerability due to an inactive configuration that prevents the latest SQL parsing logic from being applied. When this configuration is not enabled, crafted input may be improperly handled, allowing attackers to inject and execute arbitrary SQL queries.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-27378 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-27378 的情报信息
标题: Security Advisories | Altium -- 🔗来源链接
标签:
神龙速读:### 关键漏洞信息 #### 存储型跨站脚本(XSS) - **Altium Live用户配置文件字段** - Altium 365的用户配置文件文本字段中存在的存储型跨站脚本(XSS)漏洞。 - **Altium Live论坛** - Altium论坛由于缺少服务器端输入验证在论坛帖子内容中存在的存储型跨站脚本(XSS)漏洞。 - **Altium 365论坛** - Altium论坛由于缺少服务器端输入验证在论坛帖子内容中存在的存储型跨站脚本(XSS)漏洞。 - **Altium Enterprise Server工作流程引擎** - Altium工作流引擎在工作流表单提交API中由于缺少服务器端输入验证存在的存储型跨站脚本(XSS)漏洞。 - **Altium Live支持中心** - Altium支持中心AddComment端点由于缺少服务器端输入验证存在的存储型跨站脚本(XSS)漏洞。 #### 其它漏洞 - **自我签名证书验证缺失 - AD** - Altium 24.9.0不验证自我签名服务器证书,包括云连接。 - **BOM查看器中的XSS - AES** - AES7.0.3中的BOM查看器没有清理所有字段。 - **SQL注入 - AES** - 一个未激活的配置允许SQL注入通过不激活SQL解析逻辑的最新实现来发生。 - **HTML注入 - AES** - Altium Enterprise Server易受到HTML注入攻击,允许执行任意的JavaScript。
- https://nvd.nist.gov/vuln/detail/CVE-2025-27378
四、漏洞 CVE-2025-27378 的评论
暂无评论