概述
CVE-2025-13076是一个在code-projects响应式酒店网站1.0中发现的SQL注入漏洞。该漏洞的CVSS 2.0评分为5.8,属于中等严重级别。
漏洞描述
在code-projects响应式酒店网站1.0中发现了一个安全漏洞。受影响的组件是文件/admin/usersetting.php中的一个未知函数。对参数usname进行操作可导致SQL注入攻击。该攻击可以远程执行,且漏洞利用代码已公开并可能被使用。
漏洞时间线
- 发布日期:2025年11月12日 23:15
- 最后修改:2025年11月12日 23:15
- 远程利用:是
- 来源:cna@vuldb.com
受影响产品
目前尚未记录受影响的特定产品版本信息。
CVSS评分
| 分数 | 版本 | 严重程度 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 5.8 | CVSS 2.0 | 中等 | AV:N/AC:L/Au:M/C:P/I:P/A:P | 6.4 | 6.4 | cna@vuldb.com |
| 4.7 | CVSS 3.1 | 中等 | AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L | 1.2 | 3.4 | cna@vuldb.com |
| 5.1 | CVSS 4.0 | 中等 | 详见完整向量 | - | - | cna@vuldb.com |
解决方案
通过验证和清理用户输入到usersetting.php脚本的数据来修复SQL注入漏洞:
- 清理所有输入到’usname’参数的数据
- 根据预期格式验证’usname'
- 为数据库查询实现预处理语句
- 更新usersetting.php脚本
相关参考
| URL | 资源描述 |
|---|---|
| https://code-projects.org/ | 项目官网 |
| https://github.com/zhizi1234/cve/blob/main/tmp70/report.md | GitHub漏洞报告 |
| https://vuldb.com/?ctiid.332207 | VulDB记录 |
| https://vuldb.com/?id.332207 | VulDB详情 |
| https://vuldb.com/?submit.682867 | VulDB提交记录 |
CWE关联
- CWE-74:输出中特殊元素的不当中和(注入)
- CWE-89:SQL命令中特殊元素的不当中和(SQL注入)
CAPEC攻击模式
该漏洞关联多个常见攻击模式,包括但不限于:
- CAPEC-3:使用前导’幽灵’字符序列绕过输入过滤器
- CAPEC-6:参数注入
- CAPEC-7:盲SQL注入
- CAPEC-66:SQL注入
- CAPEC-108:通过SQL注入执行命令行
漏洞历史记录
该漏洞于2025年11月12日由cna@vuldb.com接收,并添加了完整的漏洞描述、CVSS评分、CWE分类和相关参考链接。