CVE-2025-12926CVE-2025-12926是SourceCodester Farm Management System 1.0版本中发现的一个中等严重性安全漏洞。该漏洞存在于Web应用程序的/review.php文件中,具体问题出现在对pid参数的数据库查询处理上。攻击者可以通过构造恶意的SQL语句payload,利用该参数注入点获取未授权的数据库访问权限。由于该漏洞可以通过远程网络进行利用,且只需要低权限认证即可实施攻击,因此具有较高的实际威胁性。漏洞利用代码已在互联网上公开,增加了被恶意利用的风险。攻击成功可能导致敏感数据泄露、数据库内容篡改,甚至可能在某些配置下实现系统权限提升。
该SQL注入漏洞存在于SourceCodester Farm Management System的/review.php文件中。漏洞的根本原因是在处理用户输入的pid参数时,未对输入进行充分的输入验证和参数化查询处理。攻击者可以通过在pid参数中注入SQL语句片段,改变原始查询的逻辑结构。典型的攻击payload包括使用UNION SELECT语句提取数据库版本、表结构、用户凭证等敏感信息,或者使用布尔型盲注、时间延迟型盲注等技术逐步推断数据库内容。由于该参数直接拼接到SQL查询语句中,攻击者可以绕过认证机制、访问其他用户的数据、甚至执行系统命令(取决于数据库配置和权限)。该漏洞的CVSS 3.1向量为AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L,表明通过网络远程利用,攻击复杂度低,需要低权限认证,不涉及用户交互。