文章总结: 天锐绿盾审批系统findDeptPage接口存在SQL注入高危漏洞CVE-2025-11309,攻击者可利用该漏洞执行SQL语句窃取敏感信息,特定条件下可致服务器失陷。建议升级至最新版本并设置安全组仅允许可信地址访问。 综合评分: 76 文章分类: 漏洞分析,漏洞预警,漏洞POC,WEB安全,威胁情报
2025.12.10-高危漏洞威胁情报 | 天锐绿盾审批系统 findDeptPage SQL注入漏洞
0xSecDebug
2025年12月10日 16:24 陕西
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具和内容均来自网络,仅做学习和记录使用,安全性自测,如有侵权请联系删除。
天锐绿盾审批系统 findDeptPage SQL注入漏洞(CVE-2025-11309)
- CVE编号: CVE-2025-11309
- 危害定级: 高危
- 漏洞标签: POC已公开
- 披露日期: 2025-10-06
- 推送原因: 漏洞创建
- 信息来源: https://avd.aliyun.com/detail?id=AVD-2025-11309
漏洞描述
天锐绿盾审批系统是一款针对企业内网安全管理的软件,其旧版本findDeptPage接口存在SQL注入漏洞。未经授权的远程攻击者可以利用该接口执行SQL语句,导致系统内的敏感信息泄漏;在数据库安全配置不当的情况下,攻击者可在数据库所在的服务器上执行任意代码,导致服务器失陷。
修复方案
- 升级至最新版本。
- 利用安全组设置其仅对可信地址开放。
参考链接
- https://github.com/FightingLzn9/vul/blob/main/%E5%A4%A9%E9%94%90%E6%95%B0%E6%8D%AE%E6%B3%84%E9%9C%B2%E9%98%B2%E6%8A%A4%E7%B3%BB%E7%BB%9F-1.md
- https://github.com/FightingLzn9/vul/blob/main/%E5%A4%A9%E9%94%90%E6%95%B0%E6%8D%AE%E6%B3%84%E9%9C%B2%E9%98%B2%E6%8A%A4%E7%B3%BB%E7%BB%9F-1.md#sql-injection-vulnerability
- https://vuldb.com/?ctiid.327190
- https://vuldb.com/?id.327190
- https://vuldb.com/?submit.663382
开源检索
暂未找到
如果想要获取到最新的威胁情报,可以添加下面我创建的威胁情报群,便于兄弟们可以及时呼获取最新的IOC。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:0xSecDebug 《2025.12.10-高危漏洞威胁情报 | 天锐绿盾审批系统 findDeptPage SQL注入漏洞》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论