一、 漏洞 CVE-2025-11590 基础信息
漏洞信息
# CodeAstro 设备录入页 SQL 注入漏洞
## 概述
在 CodeAstro Gym Management System 1.0 中发现一个安全漏洞。
## 影响版本
- CodeAstro Gym Management System 版本:1.0
## 细节
- 漏洞文件:`/admin/equipment-entry.php`
- 漏洞参数:`ename`
- 漏洞类型:SQL 注入(SQL Injection)
- 可利用方式:远程攻击者可通过操控 `ename` 参数进行攻击
- 公开状态:已有公开的利用方式(Exploit 可用)
## 影响
攻击者可能通过该漏洞操纵数据库,导致敏感信息泄露、数据篡改或破坏,严重情况下可能控制整个系统。
神龙判断
是否为 Web 类漏洞: 是
判断理由:
是。这个漏洞存在于CodeAstro Gym Management System 1.0的/admin/equipment-entry.php文件中,通过操纵参数ename可以导致SQL注入。这种类型的漏洞通常属于服务端漏洞,因为它涉及到后端处理用户输入的方式,远程攻击者可以利用此漏洞执行恶意操作。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
CodeAstro Gym Management System equipment-entry.php sql injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A weakness has been identified in CodeAstro Gym Management System 1.0. Affected by this vulnerability is an unknown functionality of the file /admin/equipment-entry.php. Executing manipulation of the argument ename can lead to sql injection. It is possible to launch the attack remotely. The exploit has been made available to the public and could be exploited.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
CodeAstro Gym Management System SQL注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
CodeAstro Gym Management System是CodeAstro的一个健身房管理系统。 CodeAstro Gym Management System 1.0版本存在SQL注入漏洞,该漏洞源于对文件/admin/equipment-entry.php中参数ename的错误操作,可能导致SQL注入攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
SQL注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-11590 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-11590 的情报信息
标题: codeastro Gym Management System V1.0 /Gym-System/admin/equipment-entry.php SQL injection · Issue #3 · coppeliaz/cve -- 🔗来源链接
标签:exploitissue-tracking
神龙速读:### 关键信息 #### 受影响产品 - Gym Management System #### 漏洞文件 - /Gym-System/admin/equipment-entry.php #### 版本 - V1.0 #### 漏洞类型 - SQL注入 #### 根因 - 攻击者通过`ename`参数注入恶意代码,直接在SQL查询中使用,未进行适当清理或验证。 #### 影响 - 未经授权的数据库访问、敏感数据泄露、数据篡改、系统控制和中断服务。 #### 漏洞详情与POC - **易受攻击参数**: `ename` - **Payload**: ``` ename=-232 AND (SELECT 1540 FROM (SELECT(SLEEP(5)))WzQn) AND '1'='1 ``` #### 建议修复措施 1. 使用预编译语句和参数绑定。 2. 输入验证和过滤。 3. 最小化数据库用户权限。 4. 定期安全审计。
标题: CodeAstro - Home For All Free Source Codes -- 🔗来源链接
标签:product
神龙速读:从这个网页截图中,无法直接获取到关于漏洞的关键信息。这个页面似乎是一个编程项目和代码库的展示页面,包含各种编程语言和框架的项目,如PHP、C#、Laravel、NodeJS等。页面上没有明显的漏洞警告或安全相关的警告信息。 要获取关于漏洞的关键信息,通常需要查看项目的源代码、安全审计报告、安全公告或开发者提供的安全指南。这些信息通常会在项目的GitHub仓库、官方文档或开发者论坛中找到。
标题: Login required -- 🔗来源链接
标签:signaturepermissions-required
神龙速读:从这个网页截图中可以获取到以下关于漏洞的关键信息: - **漏洞编号**: - VDB-327911 - CVE-2025-11590 - GCVE-100-327911 - **漏洞描述**: - CodeAstro Gym Management System 1.0 的 `equipment-entry.php` 文件存在 SQL 注入漏洞。 - **访问限制**: - 需要登录才能查看详细信息。提示用户使用凭据登录个人账户,或注册免费服务以获取访问权限。 - **其他信息**: - 网页提供了多个标签选项,如 Entry、History、Diff、Relate、JSON 和 XML,可能用于查看漏洞的不同方面和格式化数据。 - 左侧导航栏包含 Recent、Activities、Analysis、Events、Actors、Country 和 Knowledge Base 等选项,表明这是一个综合性的漏洞数据库平台。
标题: Submit #671738: codeastro Gym Management System V1.0 SQL Injection -- 🔗来源链接
标签:third-party-advisory
神龙速读:从这个网页截图中可以获取到以下关于漏洞的关键信息: - **提交编号**: #671738 - **漏洞类型**: SQL Injection - **受影响产品**: codeastro Gym Management System V1.0 此外,页面右侧的“Notice”部分提醒用户: - 提交内容由VulDB社区用户提供,VulDB不对内容或外部链接负责。 - 原始信息和带有警告标记的链接可能包含恶意或有害行为、代码或数据。 - 相应的VulDB条目包含经过审核、验证和规范化的信息。 这些信息有助于了解漏洞的基本情况和相关注意事项。
标题: CVE-2025-11590 CodeAstro Gym Management System equipment-entry.php sql injection -- 🔗来源链接
标签:vdb-entrytechnical-description
- https://nvd.nist.gov/vuln/detail/CVE-2025-11590
四、漏洞 CVE-2025-11590 的评论
暂无评论