CVE-2025-50229Jizhicms v2.5.4版本在产品编辑模块中发现严重的SQL注入安全漏洞。由于该系统在处理特定请求数据时缺乏严格的输入过滤,攻击者无需身份认证即可通过网络远程触发该漏洞。攻击者通过构造恶意的SQL语句,可以欺骗后端数据库执行非预期命令,进而窃取敏感数据、篡改数据库内容或获取服务器控制权。鉴于其CVSS评分高达9.8,属于极高风险漏洞,建议管理员务必重视并尽快处理。
该漏洞源于Jizhicms v2.5.4产品编辑模块中的代码缺陷。开发人员未对用户提交的参数(如产品ID或编辑表单字段)进行安全校验,直接将其拼接到SQL查询语句中执行。由于CVSS向量显示攻击无需复杂条件(AC:L)且无需用户交互(UI:N),攻击者可轻易利用自动化工具批量扫描目标。攻击者通常通过在参数中插入单引号、UNION SELECT或布尔逻辑语句来探测漏洞点。一旦确认漏洞存在,攻击者可利用SQL注入技术读取管理员账户信息、获取用户列表,甚至在特定数据库配置下写入WebShell,从而实现从数据库层到应用层的完全渗透。