文章总结： DedeCMS5.7.118及更早版本存在高危SQL注入漏洞CVE-2025-15004，攻击者可通过操纵free_list_main.php文件的order_by参数实施远程攻击，导致数据泄露或代码执行。建议立即升级至5.7.119及以上版本，强化输入验证，启用WAF防护并监控接口日志。 综合评分： 91 文章分类： 漏洞预警,WEB安全,漏洞分析

【高危漏洞预警】DedeCMS SQL注入漏洞（CVE-2025-15004）

cexlife

飓风网络安全

2025年12月23日 10:10 北京

漏洞描述：

在DеdеCMS 5.7.118及更早版本中发现一个漏洞,该漏洞影响/frееliѕt_mаin.рhр文件的某个未知函数,通过操纵оrdеrbу参数可导致SQL 注入,攻击可远程发起该漏洞利用方法已公开可能被利用

攻击场景:

攻击者可通过远程请求操纵/free_list_main.php文件中的order_by参数构造恶意SQL语句实现SQL注入攻击进而可能导致数据库信息泄露、权限提升或远程代码执行

影响产品及版本:

DеdеＣMS 5.7.118及更早版本

建议措施:

立即升级:将Dedecms升级至官方发布的安全版本（5.7.119 及以上）或确认官方已发布补丁

输入验证强化:对所有用户输入参数（尤其是 order_by 等用于动态SQL拼接的字段）进行严格白名单校验，避免直接拼接至SQL语句

启用WAF防护:部署Web应用防火墙（WAF），配置规则拦截包含 UNION SELECT、ORDER BY 异常注入特征的请求

日志监控:加强对 /free_list_main.php 接口的访问日志审计，关注异常请求（如含SQL关键字的GET参数）

最小权限原则:数据库账户应限制权限，避免使用高权限账户连接Web应用

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：飓风网络安全 cexlife《【高危漏洞预警】DedeCMS SQL注入漏洞（CVE-2025-15004）》