CVE-2025-11397CVE-2025-11397是SourceCodester酒店和旅馆管理系统(Hotel and Lodge Management System)1.0版本中存在的一个高危SQL注入漏洞。该漏洞位于系统的/login.php文件中,具体涉及对email参数的处理逻辑存在缺陷。攻击者可以通过远程方式,在无需身份认证和无需用户交互的情况下,向目标服务器发送精心构造的恶意SQL语句,从而实现对后台数据库的非法访问和操控。
根据CVSS 3.1评分标准,该漏洞评分为7.3分,属于高危级别。攻击向量为网络(AV:N),攻击复杂度低(AC:L),无需特权(PR:N),无需用户交互(UI:N),作用域未改变(S:U),对机密性、完整性和可用性均产生低级别影响(C:L/I:L/A:L)。该漏洞的利用代码已公开发布,意味着任何具备基本攻击知识的攻击者都可以轻易利用此漏洞。
SourceCodester是一个提供免费源码下载的知名平台,其发布的酒店和旅馆管理系统被广泛用于中小型酒店、民宿及旅馆的日常运营管理,包括客房预订、客户管理、账单结算等核心业务功能。由于该系统涉及用户敏感信息(如客户个人信息、支付数据等),一旦遭受SQL注入攻击,可能导致大量敏感数据泄露、业务数据被篡改甚至系统瘫痪,给酒店经营者和客户带来严重的经济损失和声誉损害。
该SQL注入漏洞的根本原因在于/login.php文件中对用户提交的email参数缺乏充分的输入验证和参数化处理。当用户通过登录表单提交邮箱地址时,后端代码直接将用户输入拼接到SQL查询语句中,而没有使用预编译语句(Prepared Statements)或参数化查询(Parameterized Queries)等安全措施。
攻击者可以利用经典的SQL注入技术,通过在email参数中注入恶意SQL片段来绕过身份验证或提取数据库内容。例如,攻击者可以提交类似以下格式的payload:
' OR '1'='1' --
或者使用基于UNION的注入技术:
' UNION SELECT username, password FROM users --
由于漏洞存在于登录页面,攻击者首先可以绕过身份验证以管理员身份登录系统,进而访问系统后台的所有管理功能。更严重的是,攻击者可以利用诸如sqlmap等自动化工具,通过布尔盲注、时间盲注或基于错误的注入技术,逐步提取数据库中的全部数据,包括管理员凭据、客户信息、财务记录等敏感数据。
该漏洞的攻击复杂度较低,因为login.php作为系统的入口页面,通常直接暴露在互联网上,攻击者无需绕过任何前置防护即可发起攻击。此外,由于漏洞利用代码已公开发布,攻击门槛进一步降低,潜在受影响面广泛。