CVE-2025-13269CVE-2025-13269是Campcodes公司开发的学校缴费管理系统1.0版本中的一个高危SQL注入漏洞。该漏洞存在于ajax.php文件的save_payment功能中,攻击者可以通过操纵ID参数实现SQL注入攻击。由于该漏洞可通过网络远程利用,且只需要低权限认证即可发起攻击,因此存在较大的安全风险。攻击者利用此漏洞可以窃取数据库中的敏感信息,包括学生个人资料、缴费记录、财务数据等,甚至可能在特定条件下实现系统权限提升。该漏洞已于2025年11月17日公开披露,漏洞利用代码已在互联网公开,对使用该系统的教育机构构成严重威胁。
该SQL注入漏洞位于Web应用的ajax.php文件中的save_payment功能模块。攻击者通过构造恶意的ID参数值,可以将额外的SQL语句注入到后端数据库查询中。由于应用程序未对用户输入进行充分的参数化查询或输入过滤,恶意SQL代码将被数据库服务器执行。攻击者可以利用UNION SELECT、布尔盲注、时间盲注等技术从数据库中提取敏感数据。在CVSS 3.1评分体系中,该漏洞的CVSS向量为AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L,表明攻击复杂度低、所需权限低、无需用户交互,但可造成机密性、完整性和可用性的低级别影响。