CVE-2019-25639Matrimony Website Script M-Plus 脚本中存在严重的SQL注入安全漏洞。由于软件在处理用户输入时缺乏有效的过滤机制,未经身份验证的远程攻击者可以通过 `simplesearch_results.php` 等多个页面中的 POST 参数(如 `txtGender`、`religion`、`Fage` 等)构造恶意的 SQL 语句。攻击者无需用户交互即可利用此漏洞操纵后端数据库查询,进而窃取敏感数据、绕过认证或在数据库服务器上执行任意命令,对数据机密性构成严重威胁。
该漏洞属于典型的 SQL 注入漏洞,主要影响 Matrimony Website Script M-Plus 的搜索及注册功能模块。其根本原因在于后端 PHP 文件(如 `simplesearch_results.php`、`advsearch_results.php` 等)在构造 SQL 查询时,直接将 HTTP POST 请求中的用户可控参数拼接到查询语句中,未使用参数化查询或进行严格的输入过滤。具体受影响的参数包括 `txtGender`、`religion`、`Fage` 和 `cboCountry`。攻击者无需任何身份认证即可发起攻击。通过向这些端点发送精心构造的 POST 数据包,攻击者可以在参数中注入单引号以闭合原有语句,并追加恶意的 SQL 命令(例如 `UNION SELECT` 联合查询以提取数据,或基于布尔/时间的盲注技术)。成功利用该漏洞可导致数据库中的敏感信息(如用户名、密码哈希、个人资料)被非法读取,严重威胁系统的机密性。