CVE-2025-12339 CVSS 7.3 高危

CVE-2025-12339 Campcodes Retro Basketball Shoes Online Store 1.0 SQL注入漏洞

披露日期: 2025-10-28

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-12339

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Campcodes Retro Basketball Shoes Online Store 1.0

漏洞概述

CVE-2025-12339是Campcodes Retro Basketball Shoes Online Store 1.0中的一个高危SQL注入漏洞。该漏洞存在于管理后台的/admin/admin_football.php文件中，攻击者可以通过操纵pid参数实现SQL注入攻击。由于漏洞无需认证即可利用，远程攻击者可以通过网络直接发起攻击，窃取数据库中的敏感信息，包括用户凭据、订单数据、商业机密等。该漏洞的CVSS评分为7.3，属于高危级别，对系统的机密性、完整性和可用性都造成一定影响。目前该漏洞的利用代码已公开，攻击者可能正在野外利用此漏洞。

技术细节

该SQL注入漏洞位于/admin/admin_football.php文件中，攻击者通过构造恶意的pid参数值来注入SQL语句。由于应用程序未对用户输入进行充分的过滤和参数化查询，攻击者可以利用UNION SELECT、布尔盲注、时间盲注等技术来提取数据库中的敏感信息。攻击者首先需要识别出存在漏洞的参数，然后通过构造特定的SQL payload来获取数据库版本、当前用户、数据库名称等关键信息，进而逐步枚举数据库中的表和字段，最终获取管理员账号密码等敏感数据。由于该漏洞无需认证即可利用，攻击门槛较低，危害性较大。

攻击链分析

STEP 1

步骤1

识别漏洞点：访问/admin/admin_football.php文件

STEP 2

步骤2

构造SQL注入payload

STEP 3

步骤3

提取数据库信息

STEP 4

步骤4

枚举数据库表和字段

STEP 5

步骤5

获取敏感数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

target_url = "http://target.com/admin/admin_football.php"
payload = "' UNION SELECT 1,2,3,4,5,6,7,8,9,10---"
params = {"pid": payload}

response = requests.get(target_url, params=params)
print(f"Status: {response.status_code}")
print(f"Response: {response.text[:500]}")

影响范围

Campcodes Retro Basketball Shoes Online Store 1.0

防御指南

临时缓解措施

立即升级到最新版本或应用官方补丁，同时使用WAF进行临时防护

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-12339
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-12339
3 Details https://www.cvedetails.com/cve/CVE-2025-12339/
4 VulDB https://vuldb.com/cve/CVE-2025-12339
5 Link https://github.com/HYLCXH/CVE/issues/17
6 Link https://vuldb.com/?ctiid.330126
7 Link https://vuldb.com/?id.330126
8 Link https://vuldb.com/?submit.674493
9 Link https://www.campcodes.com/

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表