CVE-2025-11612CVE-2025-11612是code-projects公司开发的Simple Food Ordering System(简易餐饮订购系统)1.0版本中存在的一个SQL注入漏洞。该漏洞于2025年10月11日由VulDB社区披露,CVSS 3.1评分为6.3分,属于中危级别漏洞。
Simple Food Ordering System是一款基于Web的餐饮订购管理系统,提供菜品管理、订单处理、用户管理等基本功能。该系统通常使用PHP语言开发,并采用MySQL等关系型数据库进行数据存储。由于开发过程中对用户输入参数缺乏严格的过滤和转义处理,导致系统在处理特定请求时存在SQL注入风险。
该漏洞位于系统的/addproduct.php文件中,具体涉及Category参数的处理逻辑。攻击者可以通过构造恶意的SQL语句作为Category参数的值,绕过应用程序的身份验证和权限检查,直接对底层数据库执行非预期的SQL操作。由于该漏洞可以通过网络远程利用,且攻击复杂度较低,一旦被恶意利用,可能导致数据库中的敏感信息泄露、数据被篡改,甚至造成整个系统不可用。该漏洞的利用代码已被公开披露,进一步增加了其危险性。
该SQL注入漏洞的根本原因在于/addproduct.php文件中对Category参数的处理缺乏充分的安全防护。具体技术分析如下:
1. **漏洞位置**:/addproduct.php文件中的Category参数处理逻辑。该文件负责处理添加产品(菜品)的请求,Category参数用于指定菜品所属的分类。
2. **漏洞原理**:应用程序在接收用户提交的Category参数后,未对其进行参数化查询处理或充分的输入验证,而是直接将用户输入拼接到SQL查询语句中。攻击者可以通过在Category参数中注入SQL语句片段(如单引号闭合、UNION查询、布尔盲注等),改变原始SQL语句的语义和执行逻辑。
3. **攻击向量**:CVSS向量显示该漏洞具有网络攻击向量(AV:N)、低攻击复杂度(AC:L)、低权限要求(PR:L)、无需用户交互(UI:N)的特点。这意味着攻击者只需要拥有系统的低权限账号(如普通用户或店员账号),即可通过网络远程发起攻击,无需受害者配合。
4. **影响范围**:成功利用该漏洞可能导致数据库中存储的菜品信息、用户信息、订单记录等敏感数据被读取、修改或删除。攻击者还可以利用数据库的特性(如MySQL的INTO OUTFILE)写入Webshell,获取服务器控制权限。
5. **利用条件**:根据CVSS评分,攻击需要低权限认证(PR:L),这意味着攻击者需要先获取一个有效的系统账号才能利用此漏洞。但一旦获得账号,利用过程相对简单。