发布日期：2025-07-29
更新日期：2025-11-12

受影响系统：

Z-Push Z-Push < 2.7.6

描述：

---

CVE(CAN) ID: CVE-2025-8264

Z-Push是Z-Hub开源的一个数据同步软件。
Z-Push 2.7.6之前版本存在SQL注入漏洞，该漏洞源于IMAP后端中的查询未进行参数化，攻击者可利用该漏洞通过操控基础身份认证的用户名字段注入恶意命令，从而访问和修改或删除链接的第三方数据库的敏感数据。

<**>

建议：

---

厂商补丁：

Z-Push
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/Z-Hub/Z-Push/pull/161

浏览次数：146
严重程度：0（网友投票）