关键信息 发布日期: 2025年10月8日 标识符: INCIBE-2025-0547 受影响资源: - Melis Platform melis-cms 模块,版本低于5.3.4 - Melis Platform melis-core 模块,版本低于5.3.11 - Melis Platform melis-cms-slider 模块,版本低于5.3.1 漏洞描述: - 发现了三个关键漏洞,影响Melis Technology的Melis Platform。 - 漏洞被Jesús Manzano Vázquez、Juan Manuel Martínez Hernández、Manuel Iván San Martín Castillo和Ángel Montilla Muñoz发现。 - 每个漏洞的CVSS v4.0基础分数为9.3。 漏洞代码及类型: - CVE-2025-10351: CVSS v4.0: 9.3 - CVE-2025-10352: CVSS v4.0: 9.3 - CVE-2025-10353: CVSS v4.0: 9.3 解决方案: - 漏洞已在melis-cms v5.3.4、melis-core v5.3.11和melis-cms-slider v5.3.1模块中修复。 详细信息: - CVE-2025-10351: 基于melis-cms模块的SQL注入漏洞。 - CVE-2025-10352: melis-core模块中的漏洞,允许未授权攻击者创建管理员账户。 - CVE-2025-10353: melis-cms-slider模块中的文件上传导致远程代码执行(RCE)漏洞。