一、 漏洞 CVE-2025-13325 基础信息
漏洞信息
# itsourcecode 学生信息录入 SQL 注入漏洞
## 概述
itsourcecode Student Information System 1.0 存在一个漏洞,位于 `/enrollment_edit1.php` 文件中的某个未知函数。该漏洞可通过操纵参数 `en_id` 触发 SQL 注入攻击。
## 影响版本
- itsourcecode Student Information System 1.0
## 细节
- **漏洞文件**:`/enrollment_edit1.php`
- **漏洞参数**:`en_id`
- **漏洞类型**:SQL 注入
- **攻击方式**:远程攻击者可通过对 `en_id` 参数的恶意操作利用该漏洞
- **利用状态**:该漏洞已被公开披露,并可能已被实际利用
## 影响
远程攻击者可通过 SQL 注入攻击读取、篡改或删除数据库中的敏感信息,可能导致系统完全失控。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
itsourcecode Student Information System enrollment_edit1.php sql injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability was determined in itsourcecode Student Information System 1.0. The affected element is an unknown function of the file /enrollment_edit1.php. Executing manipulation of the argument en_id can lead to sql injection. The attack may be performed from remote. The exploit has been publicly disclosed and may be utilized.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
itsourcecode Student Information System SQL注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
itsourcecode Student Information System是itsourcecode开源的一个学生信息系统。 itsourcecode Student Information System 1.0版本存在SQL注入漏洞,该漏洞源于对文件/enrollment_edit1.php中参数en_id的错误操作,可能导致SQL注入。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
SQL注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-13325 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-13325 的情报信息
标题: itsourcecode Student Information System V1.0 SQL Injection Vulnerability · Issue #1 · chenxiyue-2006/CVE -- 🔗来源链接
标签:exploitissue-tracking
神龙速读:### 关键信息总结 #### 1. **受影响产品** - **Student Information System** - [Vendor Homepage](https://itsourcecode.com/free-projects/php-project/student-information-system-software-free-download/) #### 2. **受影响版本** - V1.0 #### 3. **漏洞文件** - **enrollment_edit1.php** #### 4. **漏洞类型** - **SQL Injection** #### 5. **根因** - 由于对`en_id`参数的输入未进行充分验证,导致可以注入恶意SQL代码。 #### 6. **影响** - 黑客可通过SQL注入获取未经授权的数据库访问权限、窃取敏感数据、篡改数据、控制系统甚至中断服务,严重威胁系统安全和业务连续性。 #### 7. **漏洞位置** - `en_id`参数(POST) #### 8. **PoC示例** ```sql Parameter: en_id (POST) Type: boolean-based blind Title: OR boolean-based blind - WHERE or HAVING clause (NOT - MySQL comment) Payload: en_id=' OR NOT 4148=4148# Type: error-based Title: MySQL >= 5.1 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (EXTRACTVALUE) Payload: en_id=' AND EXTRACTVALUE(2857,CONCAT(0x5c,0x7171a6b71,(SELECT (ELT(2857=2857,1))),0x716a787871))-- iWfk Type: time-based blind Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP) Payload: en_id=' AND (SELECT 9233 FROM (SELECT(SLEEP(5)))QHdn)-- crnW ``` #### 9. **修复建议** 1. **使用预编译语句和参数绑定**:预编译语句可防止SQL注入。 2. **输入验证和过滤**:确保用户输入符合预期格式。 3. **最小化数据库用户权限**:使用具有最小必要权限的账户连接数据库。 4. **定期安全审计**:定期进行代码和系统安全审计以识别和修复潜在的安全漏洞。
标题: Itsourcecode.com - Partner In Your Coding Journey! -- 🔗来源链接
标签:product
标题: Login required -- 🔗来源链接
标签:signaturepermissions-required
神龙速读:### 漏洞信息 - **漏洞编号**: VDB-332669, CVE-2025-13325, GCVE-100-332669 - **漏洞类型**: SQL Injection - **受影响系统**: ITSourceCode Student Information System 1.0 - **受影响文件**: /enrollment_edit.php - **具体漏洞**: /enrollment_edit.php的en_id参数存在SQL注入漏洞 ### 其他信息 - **登录要求**: 需要登录才能访问详细信息 - **服务注册**: 可以免费注册以获取更多详细信息 - **页面布局**: 包含多个导航选项,如 Recent, Activities, Analysis, Events, Actors, Country, Knowledge Base - **语言选项**: 提供多种语言选择,如德语、英语、法语、意大利语、葡萄牙语、中文等
标题: Submit #691929: itsourcecode Student Information System V1.0 SQL Injection -- 🔗来源链接
标签:third-party-advisory
神龙速读:从这个网页截图中能获取到以下关于漏洞的关键信息: - **漏洞ID**: 691929 - **漏洞类型**: SQL Injection - **受影响的产品**: itsourcecode Student Information System V1.0 - **漏洞描述**: - 在 "Student Information System" 的 `enrollment_edit1.php` 文件中,发现了一个SQL注入漏洞。 - 这个漏洞源于对 `enr_id` 参数的用户输入验证不足。 - 使用有效凭证(用户名: infileparse@yahoo.com,密码: 1234)登录后,攻击者可以通过此参数执行恶意SQL查询。 - 需要立即采取措施来确保系统安全和数据完整性。 - **来源**: - <https://github.com/chenxiyue2000/CVE/tree/master> - **提交信息**: - 提交者: Yu_mdh - 提交日期: 2023年11月21日 - **状态**: 已审核 - **VulDB条目**: 有对应的VulDB条目 - **评分**: 20分 这些信息可以帮助安全研究人员和管理员及时识别和修复这一安全威胁。
标题: CVE-2025-13325 itsourcecode Student Information System enrollment_edit1.php sql injection -- 🔗来源链接
标签:vdb-entrytechnical-description
神龙速读:### 关键信息 - **CVE**: CVE-2025-13325 - **CVSS ID**: VDB-332669 - **GCVE**: GCVE-100-332669 - **Product**: ITSourceCode Student Information System 1.0 - **Vulnerability Type**: SQL Injection - **File**: /enrollment_edit1.php - **Argument**: en_id - **Risk Level**: Critical #### Summary A critical SQL injection vulnerability was found in ITSourceCode Student Information System 1.0. Manipulating the `en_id` argument in the `enrollment_edit1.php` file leads to SQL injection. The attack can be initiated remotely and there is a known exploit. #### Technical Details - **CWE**: CWE-89 - Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') - **Attack Vector**: Remote - **Exploit**: Proof-of-concept available on GitHub - **Attack Technique**: Utilized in MITRE ATT&CK T1505 - **Impact**: Confidentiality, integrity, and availability #### Exploitation The vulnerability can be exploited by searching for `inurl:enrollment_edit1.php` to find vulnerable targets using Google Hacking. #### Mitigation No specific countermeasures are mentioned. It is suggested to replace the product with an alternative solution. Related vulnerabilities are VDB-248549, VDB-250602, VDB-321891, and VDB-324639.
- https://nvd.nist.gov/vuln/detail/CVE-2025-13325
四、漏洞 CVE-2025-13325 的评论
暂无评论