CVE-2025-70149: CodeAstro Membership Management System SQL注入漏洞

关键信息 概要 CVE ID: CVE-2025-70149 产品: Membership Management System in PHP 1.0 厂商: CodeAstro 漏洞类型: 未认证的SQL注入 攻击向量: 远程，未认证 CVSS v3.1: 9.8 CWE: CWE-89 发现者: MinhKhoa 日期: 2025-12-27 描述 CodeAstro Membership Management System in PHP 1.0 在 中存在未认证的SQL注入漏洞。 根源分析 从用户输入中读取成员标识并直接嵌入SQL语句，导致SQL注入。 重现步骤（PoC） 1. Boolean-based SQL Injection: 2. SQL Injection: 影响 进行基于布尔/基于时间的SQL注入。 提取敏感的数据库记录。 修改或删除数据（如果数据库帐户有写权限）。 引起性能下降。 推荐修复 1. 使用预编译语句。 2. 严格验证/cast 为整数。 3. 如果页面不应公开，强制认证/授权。 4. 应用最小权限给数据库用户。 参考资料 CWE-89: SQL注入 OWASP: SQL Injection https://www.phpscriptsonline.com/product/membership-management-software

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2025-70149: CodeAstro Membership Management System SQL注入漏洞

目标达成感谢每一位支持者 — 我们达成了 100% 目标！