CVE-2025-11610CVE-2025-11610是SourceCodester Simple Inventory System 1.0版本中存在的一个安全漏洞。该漏洞于2025年10月11日由[email protected]发现并披露,CVSS评分为6.3,属于中危级别。漏洞存在于系统文件/brand.php中,具体涉及对editBrandName参数的处理逻辑存在缺陷,攻击者可以通过构造恶意的SQL语句作为参数值,触发SQL注入攻击。由于该系统是一款基于Web的库存管理系统,通常部署在企业内部网络中,一旦遭受攻击,可能导致数据库中的敏感信息泄露,包括库存数据、用户凭证、业务记录等重要信息。该漏洞可以被远程利用,且攻击者仅需低权限账号即可发起攻击,无需用户交互配合。漏洞的利用代码已被公开发布,意味着该漏洞面临较高的实际利用风险,相关用户应尽快采取防护措施。综合来看,该漏洞虽然不会直接导致系统完全失陷,但其较低的利用门槛和公开的PoC使得其威胁程度不容忽视,建议相关管理员及时修复以避免潜在的安全风险。
该漏洞的核心问题在于/brand.php文件中对editBrandName参数的处理未进行充分的输入验证和参数化处理。当用户通过HTTP请求提交editBrandName参数时,系统直接将用户输入拼接到SQL查询语句中,而没有使用预处理语句(Prepared Statements)或适当的转义机制。这使得攻击者可以通过在参数值中注入恶意SQL片段来操纵原始查询的逻辑。攻击者可以利用UNION SELECT语句读取数据库中的任意数据,利用布尔盲注或时间盲注技术逐步提取数据库结构信息,甚至通过堆叠查询(stacked queries)执行INSERT、UPDATE、DELETE等写操作。由于攻击向量为网络(AV:N),且仅需要低权限(PR:L),攻击者可以在获取普通用户凭证后远程发起攻击。漏洞的CVSS向量为CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L,表明攻击复杂度低,无需用户交互,对机密性、完整性和可用性均产生低程度影响。攻击者可以利用该漏洞读取敏感数据、篡改库存记录或干扰系统正常运行。