CVE-2025-13259CVE-2025-13259是Campcodes供应商管理系统1.0版本中的一个高危SQL注入漏洞。该漏洞存在于管理模块的edit_unit.php文件中,由于对用户提交的ID参数缺乏有效的输入过滤和参数化查询处理,导致攻击者可以通过构造恶意SQL语句实现数据库注入攻击。Campcodes供应商管理系统是一款用于管理供应商信息、采购订单、库存单位等商业管理功能的Web应用。该系统通常部署在企业内部网络或云服务器上,处理敏感的供应商和商业数据。攻击者利用此漏洞可以在不需要高权限的情况下(低权限即可),远程执行SQL查询,获取数据库中的敏感信息,包括供应商信息、用户凭据、财务数据等。CVSS评分6.3属于中等严重程度,但由于攻击复杂度低且可远程利用,对未及时修复的系统构成实质性威胁。漏洞于2025年11月17日披露后,公开的漏洞利用代码已可能在野外被使用,建议受影响用户立即采取修复措施。
该SQL注入漏洞位于Campcodes Supplier Management System 1.0的/manufacturer/edit_unit.php文件中的ID参数处理逻辑。漏洞的根本原因在于程序直接使用用户可控的输入参数构建SQL查询语句,缺少预编译语句(Prepared Statements)或严格的输入验证机制。攻击者可以通过HTTP请求的GET或POST参数传递精心构造的SQL payloads,如使用UNION SELECT、布尔盲注、时间盲注等技术提取数据库内容。由于漏洞点位于编辑单位(Edit Unit)功能模块,攻击者需要具备低权限用户账户即可发起攻击。典型的攻击Payload可能包含单引号用于打破原始查询结构,配合UNION语句或条件判断语句实现数据外泄。在MySQL数据库环境下,攻击者可能通过information_schema表获取数据库结构,进而提取用户表中的用户名和密码哈希值。该漏洞允许攻击者修改数据库记录,可能导致数据完整性受损,同时低机密性和完整性影响意味着攻击者可以读取和修改部分业务数据。