一、 漏洞 CVE-2025-5569 基础信息
漏洞信息
                                        # IdeaCMSgetList.html Goods SQL注入漏洞

## 概述
在IdeaCMS 1.7及以下版本中发现了一个被分类为关键等级的漏洞。该漏洞导致SQL注入攻击,可在远程发起。

## 影响版本
IdeaCMS 1.7及以下版本

## 细节
该问题影响`/api/v1.index.article/getList.html`文件中的`Article/Goods`功能。通过操纵参数`Field`可以导致SQL注入。

## 影响
攻击者可以远程发起攻击。建议将受影响的组件升级到1.8版本。

## 修复
升级到1.8版本可解决此问题。补丁名为`935aceb4c21338633de6d41e13332f7b9db4fa6a`。建议升级受影响组件。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
IdeaCMS getList.html Goods sql injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability was found in IdeaCMS up to 1.7 and classified as critical. This issue affects the function Article/Goods of the file /api/v1.index.article/getList.html. The manipulation of the argument Field leads to sql injection. The attack may be initiated remotely. Upgrading to version 1.8 is able to address this issue. The patch is named 935aceb4c21338633de6d41e13332f7b9db4fa6a. It is recommended to upgrade the affected component.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
IdeaCMS 注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
IdeaCMS是IdeaCMS开源的一个商场系统。 IdeaCMS 1.7及之前版本存在注入漏洞,该漏洞源于文件/api/v1.index.article/getList.html中参数Field处理不当导致SQL注入。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-5569 的公开POC
# POC 描述 源链接 神龙链接
1 IdeaCMS up to 1.7 is vulnerable to SQL injection via the field parameter in article and product query interfaces. This template uses a time-based payload to safely detect the vulnerability. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-5569.yaml POC详情
三、漏洞 CVE-2025-5569 的情报信息

  • 标题: The article and product search functionality in the Ideacms Mall v1.2- v1.7 is vulnerable to SQL injection · Issue #ICBVWE · IdeaCMS/IdeaCMS开源商城系统 - Gitee -- 🔗来源链接

    标签: issue-tracking

    神龙速读
    The article and product search functionality in the Ideacms Mall v1.2- v1.7 is vulnerable to SQL injection · Issue #ICBVWE · IdeaCMS/IdeaCMS开源商城系统 - Gitee

  • 标题: The article and product search functionality in the Ideacms Mall v1.2- v1.7 is vulnerable to SQL injection · Issue #ICBVWE · IdeaCMS/IdeaCMS开源商城系统 - Gitee -- 🔗来源链接

    标签: broken-link issue-tracking

    神龙速读
    The article and product search functionality in the Ideacms Mall v1.2- v1.7 is vulnerable to SQL injection · Issue #ICBVWE · IdeaCMS/IdeaCMS开源商城系统 - Gitee

  • 标题: Login - Gitee -- 🔗来源链接

    标签: broken-link patch

    神龙速读
    Login - Gitee

  • 标题: IdeaCMS开源商城系统v1.8 · IdeaCMS/IdeaCMS开源商城系统 - Gitee -- 🔗来源链接

    标签: broken-link patch

    神龙速读
    IdeaCMS开源商城系统v1.8 · IdeaCMS/IdeaCMS开源商城系统 - Gitee
  • https://vuldb.com/?ctiid.311027 signature permissions-required

  • 标题: CVE-2025-5569 IdeaCMS getList.html Goods sql injection (ICBVWE / EUVD-2025-16845) -- 🔗来源链接

    标签: vdb-entry technical-description

    神龙速读
    CVE-2025-5569 IdeaCMS getList.html Goods sql injection (ICBVWE / EUVD-2025-16845)
  • https://vuldb.com/?submit.588372 third-party-advisory
  • https://nvd.nist.gov/vuln/detail/CVE-2025-5569