漏洞关键信息 漏洞类型: Information Disclosure via Verbose Error Messages 报告编号: #3403450 报告人: yoyomiski 报告时间: October 29, 2025, 4am UTC 披露时间: November 19, 2025, 9:35am UTC 受影响版本: revive-adserver 6.0.0 CVE ID: CVE-2025-52671 严重性: Medium (4.3) 弱项: Information Exposure Through an Error Message 漏洞总结 Revive Adserver v6.0.0 通过详细的错误消息暴露了敏感的技术细节,包括确切的 MySQL/MariaDB 版本、SQL 查询以及 PHP 环境的详细信息。攻击者可以利用这些信息来识别已知漏洞或发起定向攻击。 复现步骤 1. 登录网站 2. 转到 3. 添加 并保存更改 4. 拦截请求,在 Execution order 字段中输入单引号 5. 提交并观察详细错误输出,其中揭示了 MySQL/MariaDB 版本和 SQL 查询 附件 图片(97.63 KiB):揭示了错误消息的详细内容和关键信息 图片(54.62 KiB):显示了访问数据库时发生的错误细节 报酬 已隐藏 报告状态 已解决