关键信息 1. 漏洞列表 该Gist列出了关于Aptsys gemscls和gemsloyalty后端平台的五个漏洞,对应的CVE编号分别为: CVE-2025-52026 CVE-2025-52025 CVE-2025-52024 CVE-2025-52023 CVE-2025-52022 2. 漏洞详情 CVE-2025-52026: 未认证数据泄露 - 影响: 暴露员工账户详情 - 状态: 厂商未确认,漏洞未修补 - 缓解措施: 强制身份验证,移除密码哈希,用现代化密码哈希算法替代MD5 CVE-2025-52025: SQL注入 - 影响: 未经授权的SQL执行、数据泄露或修改 - 状态: 未修补,厂商未回应 - 缓解措施: 使用预处理语句,清理用户输入 CVE-2025-52024: 暴露开发者Web服务面板 - 影响: 未经授权访问内部面板和后端功能 - 状态: 未修补,厂商沉默 - 缓解措施: 移除生产环境中调试面板,使用RBAC限制访问 CVE-2025-52023: 后台详细的错误信息暴露 - 影响: 内部文件路径、栈跟踪和代码片段泄露 - 状态: 未解决,无厂商回应 - 缓解措施: 生产环境中禁用详细的错误信息 CVE-2025-52022: gemsloyalty后台详细的错误信息暴露 - 影响: 服务器路径和后台逻辑泄露 - 状态: 厂商未确认问题 - 缓解措施: 禁用生产环境中的调试/错误输出 3. 漏洞状态 所有列出的漏洞在发布时均未修复,且在厂商的通知后未能得到响应。这表明这些系统可能存在被利用的风险,且厂商可能尚未意识到问题的严重性或未优先处理。 4. 报告与披露时间线 这些漏洞均在2025年5月被发现,并于同年11月进行公开披露,期间多次尝试通知厂商。