CVE-2025-11664CVE-2025-11664是Campcodes Online Beauty Parlor Management System 1.0版本中存在的一个安全漏洞。该漏洞被分类为SQL注入(SQL Injection),影响系统后台管理模块中的搜索预约功能。具体而言,漏洞存在于文件/admin/search-appointment.php中,攻击者可以通过操纵searchdata参数注入恶意SQL语句,从而绕过应用程序的身份验证和数据访问控制机制。该漏洞已被公开披露,相关的利用代码和概念验证(PoC)已在GitHub等平台发布,可能被恶意攻击者利用。由于该漏洞需要高权限(PR:H)才能利用,攻击者需要拥有管理员或具有相应权限的账户才能执行注入攻击。尽管如此,一旦具备访问权限,攻击者可以远程利用该漏洞对数据库进行未授权操作,包括数据窃取、数据篡改甚至完全控制数据库服务器。Campcodes作为一款开源的美容院管理系统,广泛应用于中小型美容美发机构,其安全性直接关系到用户隐私数据(如客户信息、预约记录、支付数据等)的保护。因此,该漏洞的修复对于保护用户数据和系统完整性具有重要意义。
该漏洞的根本原因在于/admin/search-appointment.php文件对用户输入的searchdata参数缺乏充分的过滤和参数化处理。当系统在处理预约搜索请求时,直接将用户提交的searchdata参数拼接到SQL查询语句中,而没有使用预编译语句(Prepared Statements)或适当的输入验证机制。这使得攻击者能够在参数中注入恶意的SQL片段,改变原始查询的逻辑结构。
从技术层面分析,漏洞的利用过程如下:攻击者首先需要获取管理员账户的访问权限(这是CVSS向量中PR:H的要求),然后通过构造特殊的searchdata参数值,利用UNION SELECT、时间盲注(time-based blind)、布尔盲注(boolean-based blind)或其他SQL注入技术,绕过查询的正常逻辑。攻击者可以利用该漏洞执行以下操作:1)提取数据库中的敏感信息,包括管理员凭据、客户个人数据等;2)通过INTO OUTFILE等MySQL特性写入Webshell,获取服务器控制权;3)利用堆叠查询(stacked queries)执行任意SQL命令,如修改或删除数据。
由于漏洞利用需要高权限认证,攻击者通常需要结合其他漏洞(如弱口令、暴力破解或XSS获取管理员凭据)来实施完整攻击链。CVSS评分为4.7,反映了该漏洞的中等危险性——虽然利用条件受限,但一旦利用成功,对机密性、完整性和可用性均会造成低级别影响。