CVE-2025-12598CVE-2025-12598是SourceCodester Best House Rental Management System 1.0版本中的一个高危SQL注入漏洞。该漏洞存在于/admin_class.php文件的save_tenant函数中,攻击者可以通过操纵firstname参数注入恶意SQL语句。由于该系统是一款基于Web的房屋租赁管理系统,广泛应用于房地产中介和物业管理公司,漏洞的存在可能导致严重的业务数据泄露风险。攻击者成功利用此漏洞后,可以非法访问、修改或删除数据库中的租户信息、租金记录、合同数据等敏感信息,对企业的数据安全和业务连续性构成重大威胁。
该SQL注入漏洞位于/admin_class.php的save_tenant函数中,具体受影响的参数为firstname。攻击者可以通过构造恶意Payload注入到SQL查询语句中,实现未授权的数据库操作。由于漏洞认证要求为高权限(PR:H),攻击者需要先获取管理员或相应权限账户才能利用此漏洞。攻击向量为网络(AV:N),意味着远程攻击者可以在互联网环境下发起攻击。漏洞影响系统的机密性、完整性和可用性均为低级别影响(C:L/I:L/A:L),但结合实际业务场景,攻击者可能通过SQL注入获取管理员凭据,进而提升权限并完全控制系统。建议相关用户立即采取修复措施,使用参数化查询或预编译语句重构save_tenant函数,确保用户输入不会被直接拼接到SQL语句中。