一、 漏洞 CVE-2025-53527 基础信息
漏洞信息
# WeGIA 允许在 relatorio_geracao.php 终端进行基于时间的盲注 SQL 注入
## 漏洞概述
WeGIA 是一个用于慈善机构的 web 管理工具。研究人员发现在 `/controle/relatorio_geracao.php` 端点的 `almox` 参数中存在基于时间的盲注 SQL 注入漏洞。这允许攻击者注入任意的 SQL 查询,从而可能导致未经授权的数据访问或进一步的利用,具体取决于数据库配置。
## 影响版本
- 影响版本:3.4.1 之前的版本
- 修复版本:3.4.1
## 漏洞细节
攻击者可以通过操纵 `almox` 参数中的输入来注入任意 SQL 查询。基于时间的盲注 SQL 注入漏洞需要利用时间延迟来推测查询的返回结果。
## 漏洞影响
此漏洞允许攻击者进行潜在的未经授权的数据访问,进一步可能导致数据泄露或其他更严重的安全风险,具体取决于数据库的配置。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-53527 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-53527 的情报信息
-
标题: Time-Based Blind SQL Injection relatorio_geracao.php endpoint · Advisory · LabRedesCefetRJ/WeGIA · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
标题: Resolução de Security https://github.com/LabRedesCefetRJ/WeGIA/securi… · LabRedesCefetRJ/WeGIA@9de9a74 · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-53527