关键漏洞信息 漏洞概述 CVE ID: CVE-2025-50567 发现者: Rahul Hoysala 严重性: Critical 状态: Public 发布日期: August 15, 2025 影响组件 文件: 函数: 行号: 354 提交: [commit link] 产品: Saurus CMS Community Edition v4.7.1 厂商: Saurus Co 访问要求: None 漏洞详情 问题所在: 在 函数中,使用了已弃用的 修饰符和不安全的参数化。 示例代码: 风险: 攻击者可以注入并执行任意SQL查询,导致任意代码执行。 影响 数据泄露: 敏感数据和PII泄露 数据库控制: 完全控制数据库 RCE: 可用于远程代码执行 CVSS评分 基础分数: 10.0 (Critical) 向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H 推荐修复措施 移除 修饰符的使用 对所有用户输入进行敏感处理 升级到PHP 7.0以上版本 替换自定义 函数 使用安全的数据库抽象层如PDO或MySQLi 披露时间线 2025年4月1日: 漏洞发现 2025年4月29日: 联系厂商请求CVF(无响应) 2025年8月14日: CVE ID由MITRE分配 2025年8月15日: GitHub上公开披露 参考资料 [CVE-2025-50567 - MITRE] [Saurus CMS Community Edition v4.7.1 - Affected Component]