Melis Platform中的CVE-2025-10351等漏洞

摘要

栋科技漏洞库关注到 Melis Platform 受影响版本存在多个安全漏洞，分别追踪为CVE-2025-10351、CVE-2025-10352、CVE-2025-10353。

Melis Platform是整合内容管理（CMS）、电子商务、客户关系管理（CRM）及营销功能一体化业务平台，通过单一界面实现全流程管理。

一、基本情况

Melis Platform电子商务和内容管理系统（CMS），开源特性（如melis-core、melis-cms等组件）便于企业根据需求搭建个性化功能模块。

Melis Platform平台基于PHP语言开发，采用了模块化架构设计，支持快速扩展，支持模板化内容编辑、SEO优化工具及多语言插件管理。

Melis Platform中的CVE-2025-10351等漏洞

Melis Platform平台适合需要统一管理内容发布、销售渠道及客户数据的中小型企业，尤其适用于零售、服务行业等需要多渠道整合的场景。

栋科技漏洞库关注到 Melis Platform 受影响版本存在多个安全漏洞，分别追踪为CVE-2025-10351、CVE-2025-10352、CVE-2025-10353。

二、漏洞分析

CVE-2025-10351

CVE-2025-10351漏洞是存在于 Melis 平台的 melis-cms 模块的 SQL 注入漏洞，该漏洞的CVSS 4.0评分为9.3。

该漏洞允许攻击者通过“/melis/MelisCms/PageEdition/getTinyTemplates”端点的“idPage”参数来检索、创建、更新和删除数据库。

CVE-2025-10352

CVE-2025-10351漏洞是存在于 Melis 平台的 melis-core 模块中的安全漏洞，该漏洞的CVSS 4.0评分为9.3。

如果被利用，未经验证的攻击者可以通过向'/melis/MelisCore/ToolUser/addNewUser'发送请求来创建管理员账户。

CVE-2025-10353

CVE-2025-10353是存在于 Melis 平台的“melis-cms-slider”模块的漏洞，文件上传可能导致远程代码执行（RCE），CVSS 4.0评分为9.3。

允许攻击者向'/melis/MelisCmsSlider/MelisCmsSliderDetails/saveDetailsForm'发送包含'mcsdetail_img'参数的POST请求上传恶意文件。

这些漏洞由Jesús Manzano Vázquez、Juan Manuel Martínez Hernández、Manuel Iván San Martín Castillo和Angel Montilla Muñoz发现。

三、影响范围

CVE-2025-10351：Melis Platform Melis cms模块 <= 5.3.4

CVE-2025-10352：Melis Platform Melis核心模块 <=5.3.11

CVE-2025-10353：Melis Platform Melis cms滑块模块 <=5.3.1

四、修复建议

Melis Platform Melis cms模块 > 5.3.4

Melis Platform Melis核心模块 > 5.3.11

Melis Platform Melis cms滑块模块 > 5.3.1

五、参考链接

管理员已设置登录后刷新可查看