CVE-2025-14578 CVSS 7.3 高危

CVE-2025-14578 itsourcecode Student Management System 1.0 /update_account.php SQL注入漏洞

披露日期: 2025-12-12

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-14578

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

itsourcecode Student Management System 1.0

漏洞概述

itsourcecode Student Management System 1.0版本中存在SQL注入漏洞，漏洞位于/update_account.php文件中对ID参数的处理。攻击者可通过构造恶意的SQL语句，利用该漏洞未授权访问数据库，窃取敏感信息或修改数据库内容。该漏洞无需认证即可利用，CVSS评分7.3，属于高危漏洞。漏洞已被公开披露，存在被恶意利用的风险。建议相关用户尽快采取防护措施。

技术细节

该漏洞属于典型的SQL注入漏洞，存在于/update_account.php文件中。攻击者可以通过HTTP请求中的ID参数注入恶意SQL语句。由于程序未对用户输入进行充分的过滤和参数化查询，攻击者可以绕过认证机制，执行任意SQL命令。常见的利用方式包括：通过UNION SELECT提取数据库版本、用户名、密码等信息；使用BENCHMARK或SLEEP函数进行时间盲注；通过INSERT/UPDATE语句修改数据库内容。由于该漏洞无需认证即可利用，攻击门槛较低。

攻击链分析

STEP 1

信息收集

识别目标站点使用的itsourcecode Student Management System 1.0

STEP 2

漏洞探测

访问/update_account.php并测试ID参数是否存在SQL注入

STEP 3

Payload构造

构造恶意SQL语句提取数据库信息

STEP 4

数据窃取

利用注入点获取用户敏感数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

target = 'http://target.com/update_account.php'
payload = "' OR '1'='1"
data = {'id': payload}
response = requests.post(target, data=data)
print(response.text)

影响范围

itsourcecode Student Management System 1.0

防御指南

临时缓解措施

建议立即升级到最新版本或应用官方补丁，同时启用Web应用防火墙防护。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-14578
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-14578
3 Details https://www.cvedetails.com/cve/CVE-2025-14578/
4 VulDB https://vuldb.com/cve/CVE-2025-14578
5 Link https://github.com/ltranquility/CVE/issues/23
6 Link https://itsourcecode.com/
7 Link https://vuldb.com/?ctiid.336200
8 Link https://vuldb.com/?id.336200
9 Link https://vuldb.com/?submit.704794

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表