CVE-2025-12254CVE-2025-12254是code-projects在线活动评判系统(Online Event Judging System)1.0版本中的一个高危SQL注入漏洞。该系统是一款用于管理活动评判流程的Web应用程序,广泛应用于各类比赛和评选活动。漏洞存在于/add_judge.php文件中的fullname参数,由于未对用户输入进行充分的过滤和参数化处理,攻击者可以通过构造恶意的SQL语句片段,实现对数据库的未授权访问和操作。此漏洞被标记为中危级别,CVSS评分为6.3,主要因为其需要低权限认证才能利用,但攻击者可利用该漏洞窃取敏感数据、修改数据库内容,甚至在某些情况下获取服务器权限。该漏洞已公开披露,相关的利用代码已在互联网上流传,强烈建议受影响的用户立即采取修复措施。
该SQL注入漏洞存在于Online Event Judging System 1.0的/add_judge.php文件中的fullname参数。攻击者可以通过该参数注入恶意的SQL代码片段,由于应用程序未对用户输入进行严格的过滤和验证,攻击者可以利用UNION SELECT、布尔盲注或时间盲注等技术来提取数据库中的敏感信息。攻击过程无需高级权限,普通注册用户即可发起攻击。漏洞的利用需要攻击者构造特定的HTTP请求,将SQL语句作为fullname参数的值传递到服务器端。成功利用后,攻击者可以枚举数据库中的表结构、获取用户凭证、读取配置文件等敏感数据。由于该漏洞的攻击向量为网络远程攻击(AV:N),且利用代码已公开,系统的安全性面临严重威胁。