概述
漏洞信息
- CVE ID: CVE-2025-13075
- 产品: code-projects Responsive Hotel Site 1.0
- 漏洞类型: SQL注入
漏洞描述
在code-projects Responsive Hotel Site 1.0中发现了一个安全漏洞。受影响的是文件/admin/usersettingdel.php中的未知功能。对参数eid进行操作会导致SQL注入。该攻击可以远程利用,且漏洞利用代码现已公开并可能被使用。
漏洞时间线
- 发布日期: 2025年11月12日 23:15
- 最后修改: 2025年11月12日 23:15
- 远程利用: 是
- 来源: cna@vuldb.com
受影响产品
以下产品受到CVE-2025-13075漏洞的影响:
| ID | 供应商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Fabian | responsive_hotel_site |
总计受影响供应商: 1 | 产品: 1
CVSS评分
通用漏洞评分系统是评估软件和系统漏洞严重程度的标准化框架。我们收集并显示每个CVE来自不同来源的CVSS分数。
| 分数 | 版本 | 严重程度 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 5.8 | CVSS 2.0 | 中等 | 6.4 | 6.4 | cna@vuldb.com | |
| 4.7 | CVSS 3.1 | 中等 | 1.2 | 3.4 | cna@vuldb.com | |
| 5.1 | CVSS 4.0 | 中等 | cna@vuldb.com |
解决方案
对’eid’进行用户输入清理,防止SQL注入漏洞:
- 验证和清理’eid’参数
- 使用参数化查询或预处理语句
- 限制数据库用户权限
- 及时更新应用程序代码
参考链接
以下是与CVE-2025-13075相关的深度信息、实用解决方案和有价值工具的外部链接:
| URL | 资源 |
|---|---|
| https://code-projects.org/ | |
| https://github.com/zhizi1234/cve/blob/main/tmp69/tmp69/report.md | |
| https://vuldb.com/?ctiid.332206 | |
| https://vuldb.com/?id.332206 | |
| https://vuldb.com/?submit.682856 |
CWE - 通用缺陷枚举
CVE-2025-13075与以下CWE相关:
- CWE-74: 输出中特殊元素的不当中和被下游组件使用(“注入”)
- CWE-89: SQL命令中使用的特殊元素的不当中和(“SQL注入”)
常见攻击模式枚举和分类(CAPEC)
存储了攻击者利用CVE-2025-13075弱点所采用的共同属性和方法的描述:
CAPEC-3: 使用前导"幽灵"字符序列绕过输入过滤器 CAPEC-6: 参数注入 CAPEC-7: 盲SQL注入 CAPEC-8: API调用中的缓冲区溢出 CAPEC-9: 本地命令行工具中的缓冲区溢出 CAPEC-10: 通过环境变量的缓冲区溢出 CAPEC-13: 颠覆环境变量值 CAPEC-14: 客户端注入引起的缓冲区溢出 CAPEC-24: 通过缓冲区溢出的过滤器故障 CAPEC-28: 模糊测试 CAPEC-34: HTTP响应拆分 CAPEC-42: MIME转换 CAPEC-43: 利用多输入解释层 CAPEC-45: 通过符号链接的缓冲区溢出 CAPEC-46: 溢出变量和标签 CAPEC-47: 通过参数扩展的缓冲区溢出 CAPEC-51: 毒化Web服务注册表 CAPEC-52: 嵌入NULL字节 CAPEC-53: 后缀、空终止和反斜杠 CAPEC-64: 结合使用斜杠和URL编码绕过验证逻辑 CAPEC-67: syslog()中的字符串格式溢出 CAPEC-71: 使用Unicode编码绕过验证逻辑 CAPEC-72: URL编码 CAPEC-76: 操纵Web输入到文件系统调用 CAPEC-78: 在替代编码中使用转义斜杠 CAPEC-79: 在替代编码中使用斜杠 CAPEC-80: 使用UTF-8编码绕过验证逻辑 CAPEC-83: XPath注入 CAPEC-84: XQuery注入 CAPEC-101: 服务器端包含(SSI)注入 CAPEC-105: HTTP请求拆分 CAPEC-108: 通过SQL注入的命令行执行 CAPEC-109: 对象关系映射注入 CAPEC-110: 通过SOAP参数篡改的SQL注入 CAPEC-120: 双重编码 CAPEC-135: 格式字符串注入 CAPEC-250: XML注入 CAPEC-267: 利用替代编码 CAPEC-273: HTTP响应走私 CAPEC-66: SQL注入 CAPEC-470: 从数据库扩展对操作系统的控制
漏洞历史记录
以下表格列出了CVE-2025-13075漏洞随时间的变化:
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增 | 描述 | A vulnerability was detected in code-projects Responsive Hotel Site 1.0. Impacted is an unknown function of the file /admin/usersettingdel.php. Performing manipulation of the argument eid results in sql injection. Remote exploitation of the attack is possible. The exploit is now public and may be used. | |
| 新增 | CVSS V4.0 | AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | |
| 新增 | CVSS V3.1 | AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L | |
| 新增 | CVSS V2 | (AV:N/AC:L/Au:M/C:P/I:P/A:P) | |
| 新增 | CWE | CWE-89 | |
| 新增 | CWE | CWE-74 | |
| 新增 | 参考 | https://code-projects.org/ | |
| 新增 | 参考 | https://github.com/zhizi1234/cve/blob/main/tmp69/tmp69/report.md | |
| 新增 | 参考 | https://vuldb.com/?ctiid.332206 | |
| 新增 | 参考 | https://vuldb.com/?id.332206 | |
| 新增 | 参考 | https://vuldb.com/?submit.682856 |
漏洞评分详情
CVSS 4.0
- 基础CVSS分数: 5.1
CVSS 3.1
- 基础CVSS分数: 4.7
CVSS 2.0
- 基础CVSS分数: 5.8