一、 漏洞 CVE-2025-46053 基础信息
漏洞信息
# N/A
## 概述
WebERP v4.15.2中存在SQL注入漏洞,攻击者可通过构造 payload 注入到POST请求中的ReportID和ReplaceReportID参数中,执行任意SQL命令并提取敏感数据。
## 影响版本
- WebERP v4.15.2
## 细节
攻击者可以通过构造特定的 payload 注入到 `ReportID` 和 `ReplaceReportID` 参数中,发送到 `/reportwriter/admin/ReportCreator.php` 的 POST 请求,从而执行任意SQL命令。
## 影响
此漏洞允许攻击者执行任意SQL命令,可能导致敏感数据泄露,如用户凭证、客户信息等。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A SQL Injection vulnerability in WebERP v4.15.2 allows attackers to execute arbitrary SQL commands and extract sensitive data by injecting a crafted payload into the ReportID and ReplaceReportID parameters within a POST request to /reportwriter/admin/ReportCreator.php
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
WebERP 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
webERP是Tim Schofield个人开发者的一套开源的进销存与财务管理系统(ERP系统)。该系统支持库存管理、权限角色管理、订单管理和财务管理等。 WebERP v4.15.2版本存在安全漏洞,该漏洞源于reportwriter/admin/ReportCreator.php中的ReportID和ReplaceReportID参数存在SQL注入,可能导致执行任意SQL命令和提取敏感数据。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-46053 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
