CVE-2025-14012CVE-2025-14012是JIZHICMS内容管理系统中的一个高危SQL注入漏洞。该漏洞存在于批量删除评论功能中,攻击者可以通过操纵deleteAll/findAll/delete函数参数,注入恶意SQL语句。漏洞影响JIZHICMS 2.5.5及之前版本,CVSS评分4.7,属于中危漏洞。攻击者可远程利用此漏洞,无需用户交互,但需要管理员权限。由于该漏洞已公开披露且可被利用,存在被恶意攻击者利用的风险,可能导致数据库敏感信息泄露、数据篡改或进一步系统入侵。
该SQL注入漏洞位于JIZHICMS的评论批量删除功能模块中。具体受影响的文件路径为/index.php/admins/Comment/deleteAll.html,受影响的函数包括deleteAll、findAll和delete。漏洞根源在于程序未对用户输入进行充分的过滤和参数化处理,攻击者可通过构造特殊的SQL payload绕过现有防护。在CVSS评分体系中,该漏洞的Attack Vector为网络(AV:N),Attack Complexity为低(AC:L),Privileges Required为高(PR:H),表明需要认证用户权限。Confidentiality Impact、Integrity Impact和Availability Impact均为低(C:L/I:L/A:L)。攻击者成功利用后可读取、修改或删除数据库中的敏感数据,包括用户信息、配置数据等。