CVE-2025-13240CVE-2025-13240是code-projects Student Information System 2.0中的一个高危SQL注入漏洞。该漏洞存在于/searchquery.php文件的s参数中,攻击者可以通过构造恶意SQL查询语句来利用此漏洞。由于漏洞位于网络可访问的位置,且无需认证即可利用,因此存在较高的安全风险。攻击者可能利用此漏洞获取数据库中的敏感信息,包括学生个人信息、成绩数据等。此外,攻击者还可能通过SQL注入进行数据篡改或删除,对系统造成进一步损害。建议受影响的用户尽快更新到安全版本或应用相应的安全补丁。
该漏洞源于Student Information System 2.0在处理用户输入时未对s参数进行充分的输入验证和过滤。攻击者可通过在/searchquery.php的s参数中插入恶意SQL代码来执行未授权的数据库操作。CVSS 3.1评分显示该漏洞具有网络攻击向量、低复杂度、无需特殊权限或用户交互即可利用的特点。虽然机密性、完整性和可用性的影响都被评估为低,但结合无需认证即可远程利用的条件,该漏洞仍需紧急修复。