CVE-2025-12257 CVSS 7.3 高危

CVE-2025-12257 SourceCodester在线学生成绩系统SQL注入漏洞

披露日期: 2025-10-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-12257

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

SourceCodester Online Student Result System 1.0

漏洞概述

CVE-2025-12257是SourceCodester在线学生成绩系统1.0版本中的一个高危SQL注入漏洞。该漏洞存在于view_result.php文件中，攻击者可以通过操纵ID参数来执行恶意SQL查询。由于该漏洞可远程利用且无需认证，攻击者能够在不获取任何用户凭据的情况下访问和操纵数据库中的敏感信息，包括学生成绩、个人数据等。此漏洞的CVSS评分为7.3，属于高危级别，具有网络攻击向量和低完整性影响。

技术细节

该漏洞源于应用程序对用户输入的ID参数缺乏充分的输入验证和过滤。攻击者可以利用UNION SELECT、布尔盲注或时间盲注等技术来提取数据库信息。通过构造恶意的SQLpayload，攻击者能够绕过认证机制、访问受限数据，甚至可能在某些配置下执行系统命令。

攻击链分析

STEP 1

攻击者识别出view_result.php端点并尝试注入SQL代码

STEP 2

通过构造UNION查询或盲注技术提取数据库结构

STEP 3

利用提取的信息访问或修改学生成绩数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

python
import requests

target = 'http://target.com/view_result.php'
payload = "' OR '1'='1"
data = {'id': payload}
response = requests.get(target, params=data)
print(response.text)

影响范围

SourceCodester Online Student Result System <= 1.0

防御指南

临时缓解措施

立即应用官方补丁或升级到安全版本；如果无法立即更新，可使用Web应用防火墙过滤恶意SQL关键字

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-12257
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-12257
3 Details https://www.cvedetails.com/cve/CVE-2025-12257/
4 VulDB https://vuldb.com/cve/CVE-2025-12257
5 Link https://github.com/Cloverhyl/CVE/issues/2
6 Link https://vuldb.com/?ctiid.329928
7 Link https://vuldb.com/?id.329928
8 Link https://vuldb.com/?submit.673983
9 Link https://www.sourcecodester.com/

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表