CVE-2025-11662CVE-2025-11662是SourceCodester Best Salon Management System 1.0版本中存在的一个高危SQL注入漏洞。该漏洞于2025年10月13日由[email protected]发现并披露,CVSS 3.1评分为7.3分,属于高危级别。漏洞存在于应用程序的/booking.php文件中,具体位于对参数serv_id的处理逻辑中。攻击者可以通过精心构造恶意SQL语句作为serv_id参数的值,实现对后端数据库的非法操作。由于该漏洞可以通过网络远程利用,无需任何身份认证和用户交互,因此具有较高的威胁性。攻击者可利用此漏洞读取、修改或删除数据库中的敏感数据,甚至可能进一步获取服务器控制权限。目前,该漏洞的利用代码已公开发布,意味着任何潜在攻击者都可以轻易获取利用工具,增加了实际被利用的风险。受影响的系统主要面向美容沙龙行业的管理场景,一旦被攻破,可能导致客户信息、预约记录、财务数据等敏感信息泄露,对企业和用户造成严重影响。
该漏洞的根本原因在于/booking.php文件中对serv_id参数的处理未进行充分的输入验证和参数化处理,直接将用户输入拼接到SQL查询语句中执行。攻击者可以通过构造包含SQL元字符(如单引号、UNION、SELECT等)的恶意payload注入到serv_id参数中,从而改变原始SQL查询的语义。具体利用方式包括但不限于:1)使用单引号闭合原始查询字符串;2)通过UNION SELECT语句联合查询获取数据库中的其他表数据;3)利用布尔盲注或时间盲注技术逐字节提取敏感信息;4)通过堆叠查询(stacked queries)执行INSERT、UPDATE、DELETE等写操作。由于漏洞位于预订功能模块,serv_id参数通常对应服务项目ID,攻击者可以通过拦截正常的预订请求并修改该参数来触发漏洞。漏洞利用无需认证(PR:N),且不需要用户交互(UI:N),攻击复杂度低(AC:L),使得该漏洞极易被自动化工具批量利用。