Uniong WebITR SQL 注入漏洞深度解析

概述

CVE-2025-13770 - Uniong｜WebITR - SQL 注入漏洞

漏洞描述

Uniong 开发的 WebITR 存在 SQL 注入漏洞，允许经过身份验证的远程攻击者注入任意 SQL 命令来读取数据库内容。

漏洞信息

发布时间：2025 年 11 月 28 日上午 8:15

最后修改：2025 年 11 月 28 日上午 8:15

远程利用：是

来源：twcert@cert.org.tw

受影响产品

目前尚未记录受影响的具体产品总受影响供应商：0 | 产品：0

CVSS 评分

解决方案

修补 SQL 注入漏洞以防止未经授权的数据库访问：

• 将 WebITR 更新到最新的安全版本

• 对 SQL 查询中使用的所有用户输入进行清理

• 使用参数化查询或预处理语句

• 审查并限制数据库权限

参考链接

• https://www.twcert.org.tw/en/cp-139-10539-21f45-2.html

• https://www.twcert.org.tw/tw/cp-132-10538-6a26d-1.html

CWE 关联

CWE-89: SQL 命令中使用的特殊元素的不当中和（SQL 注入）

CAPEC 攻击模式

• CAPEC-7: 盲 SQL 注入

• CAPEC-66: SQL 注入

• CAPEC-108: 通过 SQL 注入执行命令行

• CAPEC-109: 对象关系映射注入

• CAPEC-110: 通过 SOAP 参数篡改进行 SQL 注入

• CAPEC-470: 从数据库扩展对操作系统的控制

漏洞时间线

2025 年 11 月 28 日 - 收到来自 twcert@cert.org.tw 的新 CVE

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享