一、 漏洞 CVE-2025-55472 基础信息
漏洞信息
                                        # N/A

## 概述

Tirreno v0.9.5 存在一个 SQL 注入漏洞,位于 `/admin/loadUsers` API 端点。

## 影响版本

- Tirreno v0.9.5

## 细节

漏洞是由于在 `columns[0][data]` 参数中未安全处理用户提供的输入内容。该参数被直接拼接进 SQL 查询中,未进行适当的验证或参数化处理,导致攻击者可通过该参数注入恶意 SQL 代码。

## 影响

- 攻击者可以利用此漏洞执行任意 SQL 查询,进而可能导致敏感数据泄露、数据篡改、甚至完全控制数据库。
- 管理员相关接口受影响,提高攻击可能性和危害性。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
SQL Injection vulnerability exists in Tirreno v0.9.5, specifically in the /admin/loadUsers API endpoint. The vulnerability arises due to unsafe handling of user-supplied input in the columns[0][data] parameter, which is directly used in SQL queries without proper validation or parameterization.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Tirreno 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
tirreno是tirreno开源的一个安全分析软件。 Tirreno v0.9.5版本存在安全漏洞,该漏洞源于columns[0][data]参数处理不当,可能导致SQL注入攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-55472 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-55472 的情报信息

  • 标题: GitHub - tirrenotechnologies/tirreno: tirreno - Open Source Security Analytics. Understand, monitor, and protect your platform from cyberfraud, account threats, and abuse. Get started — free. -- 🔗来源链接

    标签:

    神龙速读
    GitHub - tirrenotechnologies/tirreno: tirreno - Open Source Security Analytics. Understand, monitor, and protect your platform from cyberfraud, account threats, and abuse. Get started — free.

  • 标题: Release v0.9.6 · tirrenotechnologies/tirreno · GitHub -- 🔗来源链接

    标签:

    神龙速读
    Release v0.9.6 · tirrenotechnologies/tirreno · GitHub

  • 标题: Blind SQL Injection Found! In Tirreno : Security Analytics | by CyberDucky | Aug, 2025 | Medium -- 🔗来源链接

    标签:

    神龙速读
    Blind SQL Injection Found! In Tirreno : Security Analytics | by CyberDucky | Aug, 2025 | Medium
  • https://nvd.nist.gov/vuln/detail/CVE-2025-55472
四、漏洞 CVE-2025-55472 的评论

暂无评论

发表评论