关键信息 漏洞概述 标题: Multiple vulnerabilities in DM Corporate CMS by Dmacroweb 发布日期: 2025年6月10日 标识符: INCIBE-2025-0305 重要性: 5 - Critical 影响的资源 受影响版本: DM Corporate CMS, versions prior to 2025.01 描述 漏洞数量: 9个漏洞,其中4个为严重级别,5个为中等级别。 发现者: Oscar Altenza CVE编号及CVSS评分: - CVE-2025-40654 至 CVE-2025-40657: CVSS v4.0 base score: 9.3 - CVE-2025-40658 至 CVE-2025-40661: CVSS v4.0: 6.9 - CVE-2025-40662: CVSS v4.0: 6.9 解决方案 修复版本: 2025.01 详细信息 SQL注入漏洞: - CVE-2025-40654: 和 参数在 - CVE-2025-40655: 参数在 - CVE-2025-40656: 参数在 - CVE-2025-40657: 参数在 不安全直接对象引用 (IDOR) 漏洞: - CVE-2025-40658: 参数等于 0, 1 或 2 在 - CVE-2025-40659: 参数等于 0, 1 或 2 在 - CVE-2025-40660: 参数等于 0, 1 或 2 在 - CVE-2025-40661: 参数等于 0, 1 或 2 在 绝对路径披露漏洞: - CVE-2025-40662: 允许攻击者查看 的内容,如果导航到不存在的文件。 参考资料 制造商网站: 链接