关键信息 漏洞ID: CVE-2025-6738, EUVD-2025-19246 产品: HUIJA BICYCLESHARINGSERVER up to 7b8a3ba48ad618604abd4797d2e7cf3b5ac7625a 文件: UserServiceImpl.java 函数: userDao.selectUserByUsernameLike 参数: Username 漏洞类型: SQL Injection 严重性: Critical CWE: CWE-89 (Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')) 影响: Confidentiality, integrity, and availability 攻击方式: Remote attack possible 利用情况: Exploit available 版本信息: Rolling releases, version details not available 摘要 在HUIJA BICYCLESHARINGSERVER的UserServiceImpl.java文件中,userDao.selectUserByUsernameLike函数存在SQL注入漏洞。通过操纵Username参数可以发起远程攻击,导致数据泄露、篡改和不可用。 细节 该漏洞被归类为关键级别,影响了UserServiceImpl.java文件中的userDao.selectUserByUsernameLike函数。未知输入会导致SQL注入漏洞。根据CWE标准,问题归因于CWE-89,即在构建SQL命令时未正确处理外部影响的输入。这会影响机密性、完整性和可用性。