CVE-2025-15077CVE-2025-15077是itsourcecode学生管理系统1.0版本中的一个高危安全漏洞。该漏洞存在于/form137.php文件中的未知函数,通过操作ID参数实现SQL注入攻击。由于攻击向量为网络远程攻击,且无需认证和用户交互,攻击者可以无需任何权限即可直接利用此漏洞。漏洞的CVSS评分为7.3,属于高危级别,对系统的机密性、完整性和可用性均产生低等级影响。该漏洞已公开披露,相关信息和利用代码已在互联网传播,构成了严重的安全威胁。学生管理系统通常存储大量学生个人信息和成绩数据,一旦被攻击者利用,可能导致敏感信息泄露、数据篡改或系统瘫痪。
该SQL注入漏洞位于itsourcecode学生管理系统的/form137.php文件中,具体受影响的参数为ID。攻击者可以通过构造恶意的SQL语句片段,绕过应用程序的输入验证,直接注入到后端数据库查询中。由于系统未对用户输入进行充分的参数化查询或输入过滤,攻击者可以利用UNION SELECT、布尔盲注、时间盲注等技术提取数据库中的敏感信息,包括用户凭证、配置文件、数据库结构等。攻击者还可以通过SQL注入进一步进行横向移动,可能获取服务器权限或植入恶意代码。由于该漏洞无需认证即可利用,且攻击向量为网络可访问,因此任何能够访问该Web应用的攻击者都可以尝试利用此漏洞。CVSS向量显示该漏洞的网络可达性(AV:N)、低复杂度(AC:L)、无需认证(PR:N)以及低影响程度(C:L/I:L/A:L)的特征。