CVE-2025-14647 CVSS 7.3 高危

CVE-2025-14647 Computer Book Store 1.0 SQL注入漏洞

披露日期: 2025-12-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-14647

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Computer Book Store 1.0

漏洞概述

CVE-2025-14647是code-projects开发的Computer Book Store 1.0中存在的一个高危SQL注入漏洞。该漏洞位于管理后台的/admin_delete.php文件中，攻击者可以通过bookisbn参数注入恶意SQL代码。由于漏洞无需认证即可利用，远程攻击者可以直接对数据库进行未授权访问，可能导致敏感数据泄露、数据篡改或服务器完全沦陷。

技术细节

漏洞源于/admin_delete.php对bookisbn参数缺乏输入验证和SQL语句参数化处理。攻击者可构造特定SQL payloads绕过验证，执行任意数据库操作。

攻击链分析

STEP 1

信息收集

识别目标站点使用的Computer Book Store 1.0版本

STEP 2

漏洞探测

访问/admin_delete.php并测试SQL注入点

STEP 3

payload构造

构建恶意SQL语句获取数据库信息

STEP 4

数据窃取

利用注入漏洞提取敏感数据或执行管理操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

curl -X POST 'http://target.com/admin_delete.php' -d 'bookisbn=1' OR '1'='1'

影响范围

Computer Book Store 1.0

防御指南

临时缓解措施

立即应用官方补丁或升级到修复版本，同时启用Web应用防火墙规则防护SQL注入攻击

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-14647
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-14647
3 Details https://www.cvedetails.com/cve/CVE-2025-14647/
4 VulDB https://vuldb.com/cve/CVE-2025-14647
5 Link https://code-projects.org/
6 Link https://github.com/jjjjj-zr/jjjjjzr11/issues/2
7 Link https://vuldb.com/?ctiid.336380
8 Link https://vuldb.com/?id.336380
9 Link https://vuldb.com/?submit.709618

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表