ExpressionEngine Structure插件SQL注入漏洞(CVE-2025-59473)

关键漏洞信息 标题: SQL Injection in Structure Plugin 漏洞类型: SQL 注入 描述: 在 ExpressionEngine 的 Structure 插件中发现了 SQL 注入漏洞，特别是在 delete_channels() 函数中。用户从 channel_ids 参数的输入被直接传递到 SQL 查询中，没有适当的清理。尽管漏洞需要管理员权限访问，有限权限的管理员仍然可以利用它。 报告时间: 2025 年 7 月 13 日，上午 10:25 UTC 报告人: fed01k 报告给: ExpressionEngine 报告 ID: #3249794 严重性: 中等 (6.0) 披露时间: 2026 年 1 月 26 日，下午 8:11 UTC 弱点: SQL 注入 CVE ID: CVE-2025-59473 赏金: 无 账户详情: 无 时间线 2025 年 7 月 13 日: fed01k 提交报告给 ExpressionEngine 2025 年 7 月 22 日: prancer (ExpressionEngine 员工) 将状态更改为已跟踪 2025 年 7 月 22 日: fed01k 发表评论 2025 年 7 月 22 日: prancer (ExpressionEngine 员工) 发表评论 2025 年 9 月 22 日: fed01k 发表评论 2025 年 10 月 17 日: fed01k 发表评论 2025 年 10 月 17 日: prancer (ExpressionEngine 员工) 发表评论 2025 年 10 月 17 日: fed01k 发表评论 2025 年 11 月 14 日: fed01k 发表评论 2025 年 12 月 3 日: fed01k 发表评论 2025 年 12 月 29 日: fed01k 发表评论 7 小时前: prancer (ExpressionEngine 员工) 关闭报告并将状态更改为已解决

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

ExpressionEngine Structure插件SQL注入漏洞(CVE-2025-59473)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！