一、 漏洞 CVE-2025-53475 基础信息
漏洞信息
# Advantech iView SQL注入漏洞
## 漏洞概述
Advantech iView 存在一个漏洞,攻击者可以通过 `NetworkServlet.getNextTrapPage()` 方法实现 SQL 注入和远程代码执行。攻击者需要具备用户级别的认证权限。
## 影响版本
未指定具体版本,但漏洞存在于 Advantech iView 中。
## 细节
函数中的某些参数未进行适当清理,这允许攻击者通过传递恶意输入进行 SQL 注入攻击。这可能进一步导致以 'nt authority\local service' 身份执行代码。
## 影响
攻击者可以执行 SQL 注入攻击并可能以 'nt authority\local service' 账户身份执行代码。需要具备用户级别的权限才能利用此漏洞。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Advantech iView SQL Injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability exists in Advantech iView that could allow for SQL
injection and remote code execution through
NetworkServlet.getNextTrapPage(). This issue requires an authenticated
attacker with at least user-level privileges. Certain parameters in this
function are not properly sanitized, allowing an attacker to perform
SQL injection and potentially execute code in the context of the 'nt
authority\local service' account.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Advantech iView SQL注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Advantech iView是中国研华(Advantech)公司的一个基于简单网络协议(SNMP)来对 B + B SmartWorx 设备进行管理的软件。 Advantech iView存在SQL注入漏洞,该漏洞源于NetworkServlet.getNextTrapPage函数中参数清理不当,可能导致SQL注入和远程代码执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
SQL注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-53475 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
