江蘇
關鍵詞
漏洞
CVE-2025-12914 漏洞修復說明 一、漏洞概述
外部安全平臺披露了與寶塔面板相關的CVE-2025-12914漏洞信息。 該漏洞出現在舊版本的數據庫權限查詢邏輯中,由于對輸入參數校驗不足,可能在特定條件下觸發 SQL 注入風險。
該漏洞無法被未授權遠程用戶直接利用,需要滿足較高的權限條件后才可能觸發。
二、影響范圍
面板版本
狀態
≤ 11.2.x
受影響
11.3.0 起已修復,不受影響三、漏洞利用條件與風險說明
漏洞僅在攻擊者已具備以下權限時可能被利用:
- 已登錄寶塔面板后臺(任意管理員賬號)
- 或已獲取寶塔面板 API AccessKey(等同后臺權限)
在未授權訪問的情況下,該漏洞無法觸發,因此實際風險有限。
四、修復情況
該問題已在11.3.0中完成修復,包括:
將字符串拼接的 SQL 查詢改為參數化查詢
增強輸入校驗與異常處理
完整阻斷該類型注入風險
原始代碼存在字符串拼接,例如:
users = mysql_obj.query("select Host from mysql.user where User='"+ name +"' AND Host!='localhost'")
更新后,已改為參數化寫法:
sql ="select Host from mysql.user where User=%s AND Host!='localhost'"
users = mysql_obj.query(sql, param=(name,))
此方式能確保用戶輸入不會被解釋為 SQL 指令,從根源上避免注入。
六、致謝
感謝向我們提交漏洞信息的安全研究人員,對寶塔面板安全改進提供了寶貴幫助。
七、處理建議
建議所有用戶升級至11.3.0 或更新版本。 如暫時無法升級,可采取:
限制面板訪問來源 IP
啟用雙因素認證
檢查面板 API 與 MySQL 日志
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
