aaPanel BaoTa数据库SQL 注入CVE-2025-12914

aaPanel（宝塔面板）是一款服务器运维管理工具，支持快速部署LNMP环境、网站管理、安全防护等功能，适用于Linux服务器环境系统。

一、基本情况

aaPanel面板和宝塔面板都是同一家公司在运营，aaPanel面板主要服务海外客户，若使用海外服务器部署web环境建议使用aaPanel面板。

宝塔面板是一款基于 Web 的管理服务器的面板软件，软件可以帮助用户方便地管理服务器各种功能，该面板支持Linux与Windows系统。

栋科技漏洞库关注到一个aaPanel BaoTa受影响版本中的漏洞，漏洞现已被追踪为CVE-2025-12914，该安全漏洞的CVSS 4.0评分为5.1。

二、漏洞分析

CVE-2025-12914了是一个影响 aaPanel BaoTa 版本至11.1.0的安全漏洞，攻击者可远程发起攻击，且该漏洞已被公开披露，可能被利用。

该漏洞影响后端组件中/database?action=GetDatabaseAccess文件的未知代码。

通过操控该接口的Name参数即可触发漏洞，漏洞源于该参数未做正确过滤或转义，攻击者可注入恶意 SQL 语句。

安全人员判定，CVE-2025-12914漏洞主要只在 Linux 系统上生效，暂不涉及 Windows 等其他系统。

三、影响范围

aaPanel BaoTa <= 11.1.0

四、修复建议

aaPanel BaoTa > 11.1.0

五、参考链接

管理员已设置登录后刷新可查看