漏洞概述
AES(Altium Enterprise Server)中存在一个 SQL 注入漏洞,源于一项未启用的配置项导致最新的 SQL 解析逻辑未被应用。当该配置未激活时,系统可能无法正确处理恶意构造的输入,从而允许攻击者注入并执行任意 SQL 查询。
漏洞详情
- CVE 编号:CVE-2025-27378
- 漏洞类型:SQL 注入(CWE-89)、输入验证不当(CWE-20)
- CVSS 评分:8.6(HIGH)
- 影响版本:未明确具体版本,但涉及因未启用特定配置而导致 SQL 解析逻辑失效的 AES 版本
影响范围
使用 Altium Enterprise Server(AES)且未启用相关安全配置的部署环境可能受到影响。攻击者可利用该漏洞在未授权的情况下远程执行 SQL 命令。
风险分析
该漏洞可被远程利用,无需用户交互或身份认证,攻击复杂度低。成功利用可能导致敏感数据泄露(高机密性影响),并对数据完整性与系统可用性造成一定影响。尽管完整性与可用性影响评级为“低”,但在特定场景下仍可能被用于进一步渗透内网系统。
修复建议
- 建议用户立即联系 Altium 官方获取最新安全补丁或升级至已修复该问题的版本。
- 临时缓解措施包括:确保启用相关配置以激活最新的 SQL 解析逻辑,并对所有用户输入实施严格的过滤与参数化查询机制。
