CVE-2025-63535 - “血液银行管理系统SQL注入漏洞”

概述

漏洞描述

血液银行管理系统1.0的abs.php组件中存在一个SQL注入漏洞。该应用程序未能正确清理用户提交的SQL查询输入，使得攻击者能够注入任意SQL代码。通过操纵搜索字段，攻击者可以绕过身份验证并获得对系统的未授权访问权限。

信息

• 发布日期：2025年12月1日 下午4:15
• 最后修改日期：2025年12月1日 下午5:15
• 可远程利用：是！
• 来源：cve@mitre.org

受影响产品

以下产品受到CVE-2025-63535漏洞的影响。即使cvefeed.io知晓受影响产品的确切版本，以下表格也未体现该信息。

未记录受影响的產品

受影響供應商總數: 0 | 產品數量: 0

CVSS 分数

通用漏洞评分系统是一个用于评估软件和系统中漏洞严重程度的标准化框架。我们为每个CVE收集并显示来自不同来源的CVSS分数。

解决方案

清理SQL查询中的用户输入，以防止SQL注入攻击。

• 验证并清理所有用于SQL查询的用户提交输入。
• 使用参数化查询或预处理语句。
• 在搜索字段上实施输入验证。
• 审查并更新应用程序安全配置。

公告、解决方案和工具参考

此处，您将找到与CVE-2025-63535相关的、提供深入信息、实用解决方案和有价值工具的外部链接精选列表。

CWE - 常见弱点枚举

CVE标识特定的漏洞实例，而CWE则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-63535与以下CWE关联：

• CWE-89: 在SQL命令中对特殊元素的不当中和（‘SQL注入’）

常见攻击模式枚举和分类 (CAPEC)

常见攻击模式枚举和分类 (CAPEC) 存储攻击模式，这些模式描述了对手利用CVE-2025-63535弱点所采用的常见属性和方法。

• CAPEC-7: 盲SQL注入 盲SQL注入
• CAPEC-66: SQL注入 SQL注入
• CAPEC-108: 通过SQL注入执行命令行 通过SQL注入执行命令行
• CAPEC-109: 对象关系映射注入 对象关系映射注入
• CAPEC-110: 通过SOAP参数篡改进行SQL注入 通过SOAP参数篡改进行SQL注入
• CAPEC-470: 从数据库扩展对操作系统的控制 从数据库扩展对操作系统的控制

我们扫描GitHub仓库以检测新的概念验证漏洞利用。以下列表是在GitHub上发布的公共漏洞利用和概念验证的集合（按最近更新排序）。

由于潜在的性能问题，结果限制在前15个仓库。

以下列表是文章中提及CVE-2025-63535漏洞的新闻。

由于潜在的性能问题，结果限制在前20篇新闻文章。

以下表格列出了CVE-2025-63535漏洞随时间的更改。漏洞历史记录详细信息有助于理解漏洞的演变，并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。

CVE 由 134c704f-9b21-4f2e-91b3-4a467353bcc0 修改 Dec. 01, 2025

新CVE 由 cve@mitre.org 接收 Dec. 01, 2025

EPSS是对未来30天内观察到漏洞利用活动概率的每日估计。下图显示了该漏洞的EPSS分数历史记录。

注入

漏洞评分详情

• CVSS 3.1
  • 基础CVSS分数：9.6