CVE-2025-11608CVE-2025-11608是code-projects E-Banking System 1.0版本中存在的一个高危SQL注入漏洞。该漏洞位于系统的/register.php文件的POST参数处理器中,攻击者可以通过操纵POST请求中的username和password参数触发SQL注入攻击。由于该漏洞可以被远程利用且无需任何身份认证,攻击者只需向目标服务器发送特制的HTTP请求即可实施攻击。该漏洞的CVSS评分为7.3,属于高危级别,其CVSS向量表明该漏洞具有网络攻击向量、低攻击复杂度、无需权限和无需用户交互的特点,同时对机密性、完整性和可用性均存在低程度的影响。该漏洞已被公开披露,相关的利用代码已在GitHub上发布(由安全研究员lakshayyverma在其CVE-Discovery仓库中公开),这意味着该漏洞极有可能被恶意攻击者大规模利用。E-Banking System作为一款网上银行管理系统,处理用户的敏感金融信息,一旦遭受SQL注入攻击,可能导致用户账户信息泄露、资金被盗用等严重后果。该漏洞由[email protected]发现并报告,于2025年10月11日正式披露。鉴于该漏洞的利用门槛低且危害性较大,建议相关用户和组织尽快采取防护措施。
该SQL注入漏洞存在于code-projects E-Banking System 1.0的/register.php文件中,具体位于POST参数处理器部分。当用户访问注册页面并提交注册信息时,系统会将POST请求中的username和password参数直接拼接到SQL查询语句中,而没有进行充分的输入验证和参数化处理。攻击者可以利用这一缺陷,通过在username或password参数中注入恶意SQL片段(如' OR '1'='1' --、UNION SELECT等)来操纵后端数据库查询。具体的攻击流程如下:1)攻击者首先定位目标系统的注册页面/register.php;2)构造包含恶意SQL注入payload的HTTP POST请求,其中username和password字段被替换为注入语句;3)发送请求到目标服务器,由于后端直接将用户输入拼接到SQL语句中执行,注入的SQL代码将被数据库解析执行;4)攻击者可以通过基于布尔的盲注、基于时间的盲注或UNION联合查询等方式提取数据库中的敏感信息,如管理员凭据、用户账户信息等;5)获取到管理员凭据后,攻击者可以登录系统进行进一步的攻击活动,如篡改账户信息、窃取资金等。由于该漏洞无需认证即可利用,且利用代码已公开,攻击者可以轻松地使用自动化工具进行大规模扫描和攻击。