CVE-2025-70420: Genesys Latitude 认证 SQL 注入漏洞总结 漏洞概述 Genesys Latitude v25.1.0.420 存在一个认证 SQL 注入漏洞。攻击者可通过向 接口的 参数注入恶意 SQL 代码,触发数据库报错,从而探测数据库结构、版本及数据库列表。 影响范围 受影响软件:Genesys Latitude v25.1.0.420 受影响接口: 触发条件:需通过“Agent Desktop”导航菜单点击“Inventory”链接访问该接口。 利用方式:在 参数值后追加单引号 即可触发数据库错误。 修复方案 目前页面未提供具体修复方案,但建议: 1. 对输入参数进行严格过滤和转义。 2. 使用参数化查询或预编译语句避免 SQL 注入。 3. 限制数据库权限,防止敏感数据泄露。 4. 部署 WAF 或入侵检测系统监控异常请求。 POC 代码 响应示例(触发错误) 披露时间线 2025-12-10:漏洞发现并通知客户 2025-12-23:首次通知厂商 2026-01-30:第二次通知厂商 2026-03-18:第三次通知厂商 2026-04-21:公开披露 > 注:尽管注入成功,但由于数据库层额外保护,未能提取“Latitude”表中的敏感数据。