一、 漏洞 CVE-2025-43960 基础信息
漏洞信息
                                        # N/A

## 概述

Adminer 4.8.1 在使用 Monolog 进行日志记录时,存在一个拒绝服务(DoS)漏洞,攻击者可通过构造的序列化负载触发 PHP 对象注入,导致内存过度消耗。

## 影响版本

- Adminer 4.8.1(启用 Monolog 日志记录时)

## 细节

- 漏洞允许远程、未认证攻击者通过发送恶意构造的序列化对象(例如使用 `s:1000000000` 大字符串)触发 PHP 对象注入。
- 攻击利用 Monolog 对日志内容的处理逻辑,导致服务器内存被大量占用。
- 此问题可使 Adminer 接口无响应,并引发服务器级别的拒绝服务。

## 影响

- 服务不可用:Adminer 接口变得无响应。
- 服务器级 DoS:单次攻击可能导致服务数分钟内无法响应,多次并发攻击可能造成彻底崩溃。
- 需手动恢复:严重情况下需人工干预重启服务。
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞存在于Adminer 4.8.1版本的Web服务中,当使用Monolog进行日志记录时,允许通过构造的序列化负载(例如,使用s:1000000000)触发拒绝服务(内存消耗)攻击,这可能导致PHP对象注入问题。远程且未认证的攻击者可以通过发送恶意的序列化对象来利用这一漏洞,导致Adminer的界面无响应,并且可能会导致服务器级别的服务中断。虽然服务器可能在几分钟后恢复,但多同时发生的请求可能导致服务器完全崩溃,需要手动干预。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Adminer 4.8.1, when using Monolog for logging, allows a Denial of Service (memory consumption) via a crafted serialized payload (e.g., using s:1000000000), leading to a PHP Object Injection issue. Remote, unauthenticated attackers can trigger this by sending a malicious serialized object, which forces excessive memory usage, rendering Adminer’s interface unresponsive and causing a server-level DoS. While the server may recover after several minutes, multiple simultaneous requests can cause a complete crash requiring manual intervention.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Adminer 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Adminer是Adminer开源的一个 WordPress 插件。允许 WordPress 管理员快速进行数据库管理。 Adminer 4.8.1版本存在安全漏洞,该漏洞源于使用Monolog记录日志时处理特制序列化有效载荷不当,可能导致PHP对象注入和拒绝服务攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-43960 的公开POC
# POC 描述 源链接 神龙链接
1 CVE-2025-43960 - PHP Object Injection en Adminer < 4.8.1 con Monolog (DoS) https://github.com/far00t01/CVE-2025-43960 POC详情
三、漏洞 CVE-2025-43960 的情报信息
四、漏洞 CVE-2025-43960 的评论

暂无评论

发表评论