CVE-2025-1843: Mini-Tmall ProductMapper.java select sql injection
Description
A vulnerability, which was classified as critical, has been found in Mini-Tmall up to 20250211. This issue affects the function select of the file com/xq/tmall/dao/ProductMapper.java. The manipulation of the argument orderBy leads to sql injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure but did not respond in any way. Eine Schwachstelle wurde in Mini-Tmall bis 20250211 entdeckt. Sie wurde als kritisch eingestuft. Hierbei geht es um die Funktion select der Datei com/xq/tmall/dao/ProductMapper.java. Durch das Beeinflussen des Arguments orderBy mit unbekannten Daten kann eine sql injection-Schwachstelle ausgenutzt werden. Umgesetzt werden kann der Angriff über das Netzwerk. Der Exploit steht zur öffentlichen Verfügung.
Classification
CVE ID: CVE-2025-1843
CVSS Base Severity: MEDIUM
CVSS Base Score: 5.3
CVSS Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N
Affected Products
Vendor: n/a
Product: Mini-Tmall
Exploit Prediction Scoring System (EPSS)
EPSS Score: 0.03% (probability of being exploited)
EPSS Percentile: 5.59% (scored less or equal to compared to others)
EPSS Date: 2025-03-31 (when was this score calculated)
References
https://nvd.nist.gov/vuln/detail/CVE-2025-1843https://vuldb.com/?id.298109
https://vuldb.com/?ctiid.298109
https://vuldb.com/?submit.504958
https://github.com/qkdjksfkeg/cve_article/blob/main/Tmall_demo/SQL%20injection.md