一、 漏洞 CVE-2025-34038 基础信息
漏洞信息
# 凡威e ecology SQL注入漏洞
## 漏洞概述
Fanwei e-cology 8.0 存在一个 SQL 注入漏洞,该漏洞通过 getdata.jsp 端点暴露,允许未经过身份验证的攻击者执行任意 SQL 查询。
## 影响版本
- Fanwei e-cology 8.0
## 漏洞细节
应用直接将来自 `sql` 参数的未清理用户输入传递给 `getSelectAllIds(sql, type)` 方法中的数据库查询,该方法可通过 `cmd=getSelectAllId` 工作流在 `AjaxManager` 中访问。
## 影响
该漏洞允许未认证的攻击者执行任意 SQL 查询,可能泄露敏感数据,例如管理员密码哈希。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Fanwei e-cology SQL Injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A SQL injection vulnerability exists in Fanwei e-cology 8.0 via the getdata.jsp endpoint. The application directly passes unsanitized user input from the sql parameter into a database query within the getSelectAllIds(sql, type) method, reachable through the cmd=getSelectAllId workflow in the AjaxManager. This allows unauthenticated attackers to execute arbitrary SQL queries, potentially exposing sensitive data such as administrator password hashes.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Weaver e-cology 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Weaver e-cology是中国泛微(Weaver)公司的一套协同管理应用平台。 Weaver e-cology 8.0版本存在安全漏洞,该漏洞源于getdata.jsp端点中sql参数未清理导致SQL注入攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-34038 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | Fanwei e-cology 8.0 contains a sql injection caused by unsanitized user input in the sql parameter of getdata.jsp, letting unauthenticated attackers execute arbitrary SQL queries and access sensitive data. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-34038.yaml | POC详情 |
三、漏洞 CVE-2025-34038 的情报信息
-
- https://www.cnvd.org.cn/flaw/show/CNVD-2021-33202 third-party-advisory
-
-
- https://nvd.nist.gov/vuln/detail/CVE-2025-34038
四、漏洞 CVE-2025-34038 的评论
暂无评论