支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2025-3243 基础信息
漏洞信息
                                        # code-projects 患者记录管理系统 dental_form.php SQL注入漏洞

# 漏洞描述

## 概述
在 code-projects 的 Patient Record Management System 1.0 中发现了一个漏洞,被归类为关键级别。这个漏洞允许通过操纵 `itr_no` 参数来执行 SQL 注入攻击。

## 影响版本
- code-projects Patient Record Management System 1.0

## 细节
该问题影响了文件 `/dental_form.php` 的某个未知处理过程。具体来说,可以通过操纵参数 `itr_no` 引发 SQL 注入漏洞。此攻击可从远程发起。此外,已公开了该漏洞的利用方法。

## 影响
- 从远程位置可以发起攻击。
- 可以通过修改 URL 参数 `itr_no` 来执行 SQL 注入操作。
- 公开的利用代码可能已经被广泛传播和使用。

```markdown
# 漏洞描述

## 概述
在 code-projects 的 Patient Record Management System 1.0 中发现了一个漏洞,被归类为关键级别。这个漏洞允许通过操纵 `itr_no` 参数来执行 SQL 注入攻击。

## 影响版本
- code-projects Patient Record Management System 1.0

## 细节
该问题影响了文件 `/dental_form.php` 的某个未知处理过程。具体来说,可以通过操纵参数 `itr_no` 引发 SQL 注入漏洞。此攻击可从远程发起。此外,已公开了该漏洞的利用方法。

## 影响
- 从远程位置可以发起攻击。
- 可以通过修改 URL 参数 `itr_no` 来执行 SQL 注入操作。
- 公开的利用代码可能已经被广泛传播和使用。
```
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞存在于Web服务的服务端,涉及到/dental_form.php文件中对参数itr_no的处理不当,导致SQL注入的风险。由于该攻击可远程发起,且漏洞细节已公开,存在被利用的风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
code-projects Patient Record Management System dental_form.php sql injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability was found in code-projects Patient Record Management System 1.0 and classified as critical. This issue affects some unknown processing of the file /dental_form.php. The manipulation of the argument itr_no/dental_no leads to sql injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Code-Projects Patient Record Management System 注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Code-Projects Patient Record Management System是Code-Projects开源的一个病历管理系统。 Code-Projects Patient Record Management System 1.0版本存在注入漏洞,该漏洞源于对参数itr_no的错误操作会导致SQL注入。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-3243 的公开POC
#POC 描述源链接神龙链接
1A proof-of-concept exploit for CVE-2025-32433, a critical vulnerability in Erlang's SSH library that allows pre-authenticated code execution via malformed SSH_MSG_CHANNEL_REQUEST packets.https://github.com/TeneBrae93/CVE-2025-3243POC详情
2Nonehttps://github.com/ladosudeste/CVE-2025-3243POC详情
三、漏洞 CVE-2025-3243 的情报信息

  • 标题: cve/README.md at master · BinBall/cve · GitHub -- 🔗来源链接

    标签:exploit

    神龙速读:
                                            ## 关键信息

### 漏洞描述
- **漏洞类型**: SQL注入
- **受影响文件**: `/dental_form.php`
- **参数**: `itr_no`
- **描述**: 在`patient-record-management-system-in-php`的`/dental_form.php`中存在无限制的SQL注入攻击。攻击者可以通过控制`itr_no`参数来执行恶意SQL语句,从而获取服务器数据库中的敏感信息。

### 代码分析
- **问题代码**:
    ```php
    $q = $conn->query("SELECT * FROM dental NATURAL JOIN itr WHERE itr_no = '".$_GET['itr_no']."'");
    ```
- **问题原因**: `$_GET['itr_no']`参数直接拼接到SQL语句中,没有进行任何过滤或转义,导致SQL注入漏洞。

### POC (Proof of Concept)
- **请求示例**:
    ```http
    GET /dental_form.php?itr_no=1 HTTP/1.1
    Host: HealthcarePatientRecordManagementSystem
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:136.0) Gecko/20100101 Firefox/136.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
    Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
    Accept-Encoding: gzip, deflate, br
    Connection: close
    Cookie: PHPSESSID=nagau8bggc877fmain8sbu6ca1
    Upgrade-Insecure-Requests: 1
    Priority: u=8, i
    ```

### 结果
- **数据库列表**:
    - security
    - bloodbank
    - challenges
    - demo_show
    - crud
    - dedecmsv57utf8_115
    - dedecmsv57utf8sp2
    - dvwa
    - easyweb
    - ecms
    - ecms4
    - empirecms
    - farmacia
    - fastadmin
    - forcms
    - healthcare
    - hostel
    - industrial_college
    - information_schema
    - mysql
    - ofcms
    - online_health_care
    - oalphpin
    - performance_schema
    - project
    - rockxinhu
    - ry
    - seacms
    - sec_sql

### 提交者
- **姓名**: 杨鸿宇
- **单位**: 广州大学
- **导师**: 殷丽华
    cve/README.md at master · BinBall/cve · GitHub

  • 标题: Download Free Open Source Projects | PHP, C++ | Source code & Projects -- 🔗来源链接

    标签:product

    神龙速读:
                                            从这个网页截图中,我们可以获取到以下关于漏洞的关键信息:

1. **项目标题**:
   - "Simple College site Using HTML,CSS AND JAVASCRIPT"
   - "Project: Movie Trailer Using HTML,CSS & JavaScript With Source Code"
   - "Supermarket Billing System In C++ With Source Code"
   - "Banking management system project in C"
   - "Project: Sports Clothing Store from HTML, CSS and JS"
   - "Simple Chat System in PHP with Source Code Free Download"
   - "Etch a Sketch App In JavaScript With Source Code"
   - "How to install LEMP in Ubuntu"
   - "Captcha Generator In Python With Source Code"
   - "Game: Apple Collector from JS"

2. **项目描述**:
   - 每个项目都有简短的描述,说明了项目的功能和目标。
   - 例如,“Simple College site Using HTML,CSS AND JAVASCRIPT”项目的目标是创建一个简单的大学网站。

3. **项目分类**:
   - 项目被分类为不同的编程语言和项目类型,如C/C++, C++, PHP, JavaScript, Python等。

4. **项目日期**:
   - 每个项目都有发布日期,例如“November 2, 2024”和“October 31, 2024”。

5. **项目标签**:
   - 每个项目都有一个或多个标签,如“Project”, “PHP Projects”, “JavaScript Projects”等。

6. **项目类型**:
   - 项目类型包括“Project”, “PHP Projects”, “JavaScript Projects”, “C/C++ Projects”等。

7. **项目链接**:
   - 每个项目都有一个链接,用户可以点击下载源代码或查看详细信息。

通过这些信息,我们可以了解到这个网站提供了一系列的源代码项目,涵盖了多种编程语言和项目类型。这些项目可能包含一些潜在的安全漏洞,因为它们是开源的,任何人都可以查看和修改源代码。
    Download Free Open Source Projects | PHP, C++ | Source code & Projects

  • 标题: Login required -- 🔗来源链接

    标签:signaturepermissions-required

    神龙速读:
                                            从这个网页截图中可以获取到以下关于漏洞的关键信息:

- **漏洞ID**: VDB-303269
- **CVE编号**: CVE-2025-3243
- **漏洞描述**: CODE-PROJECTS Patient Record Management System 1.0 /dental_form.php ITR_NO SQL Injection

这些信息表明该系统存在SQL注入漏洞,可能允许攻击者通过`ITR_NO`参数注入恶意SQL代码。
    Login required

  • 标题: Submit #547882: code-projects patient-record-management-system 0/1 sql injection -- 🔗来源链接

    标签:third-party-advisory

    神龙速读:
                                            从这个网页截图中可以获取到以下关于漏洞的关键信息:

- **提交编号**: #547882
- **漏洞描述**: code-projects patient-record-management-system 0/1 SQL injection
- **状态**: info

此外,右侧的注意事项(Notice)和文档(Documentation)部分提供了以下信息:

- **提交来源**: 提交由VulDB社区用户完成。
- **免责声明**: VulDB不对提交内容或外部链接负责。
- **使用建议**: 建议使用显示的原始信息和带有警告标志的链接,因为它们可能包含恶意和有害行为、代码或数据。
- **文档链接**:
  - Submission Policy
  - Data Processing
  - CVE Handling
    Submit #547882: code-projects patient-record-management-system 0/1 sql injection

  • 标题: CVE-2025-3243 code-projects Patient Record Management System dental_form.php sql injection -- 🔗来源链接

    标签:vdb-entrytechnical-description

    神龙速读:
                                            ### 关键信息

- **漏洞描述**:
  - 在 `code-projects Patient Record Management System 1.0` 中发现了一个SQL注入漏洞,被归类为严重级别。
  - 漏洞存在于 `/dental_form.php` 文件的未知功能中,通过操纵 `itr_no` 参数并使用未知输入导致SQL注入。

- **CVE编号**: CVE-2025-3243

- **CWE编号**: CWE-89

- **影响**:
  - 保密性、完整性和可用性受到影响。

- **利用难度**: 简单

- **攻击方式**: 可远程发起

- **技术细节和公开利用代码**: 已知且可在GitHub上找到

- **MITRE ATT&CK技术**: T1505

- **Google Hacking搜索**: `inurl:dental_form.php`

- **建议措施**: 替换受影响的对象或使用替代产品

- **相关条目**: VDB-222220, VDB-303162, VDB-303163, VDB-303165
    CVE-2025-3243 code-projects Patient Record Management System dental_form.php sql injection
  • https://nvd.nist.gov/vuln/detail/CVE-2025-3243
四、漏洞 CVE-2025-3243 的评论

暂无评论

发表评论