CVE-2025-11588CVE-2025-11588是CodeAstro健身房管理系统1.0版本中存在的一个SQL注入漏洞。该漏洞位于/customer/index.php文件中,影响某个未知函数,具体涉及fullname参数的处理逻辑。攻击者可以通过远程方式对fullname参数进行恶意构造,注入SQL语句从而操纵后端数据库。由于该漏洞的利用代码已公开发布,攻击者可以较为容易地利用此漏洞对目标系统发动攻击。该漏洞的CVSS 3.1评分为6.3分,属于中危级别,攻击向量为网络(AV:N),攻击复杂度低(AC:L),仅需要低权限认证(PR:L),无需用户交互(UI:N)。漏洞对机密性、完整性和可用性均产生低级别影响,表明攻击者可以在一定程度上读取敏感数据、修改数据库内容或影响系统正常运行。CodeAstro健身房管理系统是一款用于管理健身房会员、课程、收费等业务的开源Web应用程序,广泛应用于中小型健身机构。由于该系统通常存储大量会员个人信息、支付记录和健康数据,SQL注入漏洞可能导致大规模用户隐私泄露和业务数据篡改,对健身房运营和用户隐私构成严重威胁。
该SQL注入漏洞存在于CodeAstro健身房管理系统1.0版本的/customer/index.php文件中。漏洞产生的原因是在处理fullname参数时,开发者未对该参数进行充分的输入验证和参数化处理,直接将用户输入拼接到SQL查询语句中执行。攻击者可以通过构造包含SQL元字符(如单引号、UNION关键字、注释符等)的恶意payload,注入到fullname参数中,从而实现对后端数据库的非授权操作。具体利用方式包括:1)使用单引号闭合原始SQL语句中的字符串;2)通过UNION SELECT语句读取数据库中的其他表数据;3)利用布尔盲注或时间盲注技术逐步提取数据库结构信息;4)通过堆叠查询执行INSERT、UPDATE或DELETE语句篡改或删除数据。由于该漏洞需要低权限认证(PR:L),攻击者需要先获取一个普通用户账户,然后通过登录后的customer页面提交恶意请求。攻击复杂度低(AC:L),意味着无需特殊条件即可成功利用。漏洞利用的完整PoC代码已在GitHub上公开发布(github.com/coppeliaz/cve/issues/1),攻击者可直接使用或稍作修改即可对目标系统实施攻击。