CVE-2025-1751 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入漏洞 (SQLi)。 💥 **后果**：数据库完全失控，数据可被窃取、篡改或删除。

🔍 **CWE**：CWE-89 (SQL注入)。 📍 **缺陷点**：`/modules/ajaxBloqueaCita.php` 接口中的 `$idServicio` 参数未过滤。

🏢 **厂商**：ATISoluciones。 📦 **产品**：CIGES。 ⚠️ **版本**：2.15.5 及以下版本。

🕵️ **权限**：无需认证 (PR:N)。 📊 **数据**：可执行 **CRUD** 全操作（检索、创建、更新、删除数据库内容）。

🚪 **门槛**：极低。 🔓 **条件**：网络可达即可，无需用户交互，无需登录。

📜 **Exp**：数据中未提供现成 PoC。 🌍 **在野**：暂无公开在野利用报告。

🔎 **自查**：扫描目标是否存在 `/modules/ajaxBloqueaCita.php` 路径。 🧪 **测试**：向 `$idServicio` 参数注入 SQL 测试语句。

🛡️ **官方**：参考链接指向厂商安全页面，建议立即访问 `atisoluciones.com` 获取补丁。

🚧 **临时**：WAF 拦截 SQL 关键字；限制该 PHP 文件访问权限；移除 `$idServicio` 直接拼接逻辑。

🔥 **优先级**：**紧急**。 📈 **CVSS**：9.1 (Critical)。 ⚡ **建议**：立即修复，高危漏洞且利用成本为零。