Heimdall Data Database Proxy漏洞CVE-2025-12486

Heimdall Data Database Proxy 是 Heimdall Data 推出的智能数据库代理解决方案，该产品内置了数据安全功能，满足各类行业监管要求。

一、基本情况

Heimdall 数据数据库代理作为应用与数据库中间层，无需修改应用或数据库代码即实现数据库性能优化、读写分离、安全管控与合规支持。

Heimdall Data Database Proxy 可兼容（Postgres、MySQL、SQL Server、Oracle、DB2）和云平台（AWS、Azure、Google Cloud）。

Heimdall Data Database Proxy 相比传统数据库扩容，通过缓存、读写分离等技术以更低成本实现20倍性能提升；降低 50% 数据库成本。

栋科技漏洞库关注到Heimdall Data Database Proxy受影响版本的跨站脚本（XSS）漏洞，追踪为CVE-2025-12486，CVSS 3.X评分8.8。

二、漏洞分析

CVE-2025-12486漏洞是存在于Heimdall 数据数据库代理跨站脚本远程代码执行漏洞 ，虽然风险较大但利用该漏洞需要最少的用户交互。

该漏洞源于数据库事件日志的处理中存在特定缺陷，漏洞允许远程攻击者在受影响的Heimdall Data Database Proxy安装上执行任意代码。

具体而言，漏洞源于对用户提供的数据缺乏适当的验证，可能导致任意脚本的注入，被远程攻击者利用以在受影响的系统上执行任意代码。

漏洞存在于处理数据库事件日志的功能中，虽然未明确列出具体受影响版本，但成功利用可使攻击者以目标用户身份与应用程序进行交互。

三、影响范围

Heimdall Data Database Proxy < 25.03.01.10

四、修复建议

Heimdall Data Database Proxy >= 25.03.01.10

五、参考链接

管理员已设置登录后刷新可查看