CVE-2025-14536: 在code-projects班级与考试时间表管理系统中的SQL注入漏洞
严重性: 中等 类型: 漏洞
CVE-2025-14536
在code-projects班级与考试时间表管理系统1.0版本中发现了一个安全漏洞。受此漏洞影响的是登录组件/index.php文件中的某项未知功能。对参数username/password的操纵导致了sql注入。攻击可以远程发起。漏洞利用代码已公开,可能被利用。
AI分析
技术总结 CVE-2025-14536是在code-projects班级与考试时间表管理系统应用程序1.0版本中发现的一个SQL注入漏洞,具体存在于登录组件的/index.php文件中。该漏洞源于对用户名和密码输入参数的不当净化,这些参数在没有充分验证或参数化的情况下被直接用于SQL查询。这一缺陷允许远程攻击者注入任意SQL命令,可能导致对后端数据库的未授权数据访问、修改或删除。该漏洞不需要身份验证或用户交互,因此攻击者极易利用。CVSS 4.0基础评分为6.9(中等严重性),反映了网络攻击向量、低复杂度、无需权限或用户交互,但对机密性、完整性和可用性的影响有限。尽管尚未报告有主动利用,但存在公开的漏洞利用代码,增加了攻击的可能性。受影响的软件主要用于教育环境管理班级和考试日程,使得敏感的学生和机构数据面临风险。由于缺乏供应商补丁或官方修复指导,用户需要立即采取防御措施。该漏洞的利用可能导致数据泄露、未授权的管理访问或调度服务中断,影响运营连续性和隐私合规。
潜在影响 对于欧洲组织,特别是使用code-projects班级与考试时间表管理系统1.0的教育机构,此漏洞构成重大风险。利用该漏洞可能导致敏感学生和员工信息的未授权披露,违反GDPR和其他数据保护法规,从而引发法律和财务处罚。调度数据的完整性可能受到损害,导致诸如考试重新安排或课程取消等运营中断。虽然可用性影响有限,但如果攻击者操纵或删除关键时间表数据,可能会影响服务连续性。攻击的远程、无需身份验证性质扩大了威胁面,可能允许在多个机构中广泛利用。此外,数据泄露导致的声誉损害可能削弱对受影响组织的信任。中等严重性评级表明存在适度但切实的风险,需要及时关注以防止升级或与其他漏洞形成连锁攻击。
缓解建议 为缓解CVE-2025-14536,组织应立即对/index.php登录组件中的用户名和密码参数实施输入验证和净化。采用预编译语句或参数化查询对于防止SQL注入至关重要。如果无法修改源代码,部署具有SQL注入检测规则的Web应用程序防火墙(WAF)可以提供临时保护层。将受影响应用程序的网络访问限制在受信任的IP范围,并执行严格的身份验证控制,可以减少暴露风险。建议定期监控日志以查找可疑的登录尝试或异常查询模式。组织还应与供应商或社区联系以获取补丁或更新,并计划软件升级。进行专注于注入漏洞的安全审计和渗透测试将有助于识别剩余风险。最后,确保维护关键数据的备份,以便在数据被篡改或丢失时能够恢复。
受影响国家 德国,法国,英国,意大利,西班牙,荷兰,波兰
CVE-2025-14536: 在code-projects班级与考试时间表管理系统中的SQL注入漏洞
严重性: 中等 类型: 漏洞
CVE: CVE-2025-14536
在code-projects班级与考试时间表管理系统1.0版本中发现了一个安全漏洞。受此漏洞影响的是登录组件/index.php文件中的某项未知功能。对参数username/password的操纵导致了sql注入。攻击可以远程发起。漏洞利用代码已公开,可能被利用。
技术总结 CVE-2025-14536是在code-projects班级与考试时间表管理系统应用程序1.0版本中发现的一个SQL注入漏洞,具体存在于登录组件的/index.php文件中。该漏洞源于对用户名和密码输入参数的不当净化,这些参数在没有充分验证或参数化的情况下被直接用于SQL查询。这一缺陷允许远程攻击者注入任意SQL命令,可能导致对后端数据库的未授权数据访问、修改或删除。该漏洞不需要身份验证或用户交互,因此攻击者极易利用。CVSS 4.0基础评分为6.9(中等严重性),反映了网络攻击向量、低复杂度、无需权限或用户交互,但对机密性、完整性和可用性的影响有限。尽管尚未报告有主动利用,但存在公开的漏洞利用代码,增加了攻击的可能性。受影响的软件主要用于教育环境管理班级和考试日程,使得敏感的学生和机构数据面临风险。由于缺乏供应商补丁或官方修复指导,用户需要立即采取防御措施。该漏洞的利用可能导致数据泄露、未授权的管理访问或调度服务中断,影响运营连续性和隐私合规。
潜在影响 对于欧洲组织,特别是使用code-projects班级与考试时间表管理系统1.0的教育机构,此漏洞构成重大风险。利用该漏洞可能导致敏感学生和员工信息的未授权披露,违反GDPR和其他数据保护法规,从而引发法律和财务处罚。调度数据的完整性可能受到损害,导致诸如考试重新安排或课程取消等运营中断。虽然可用性影响有限,但如果攻击者操纵或删除关键时间表数据,可能会影响服务连续性。攻击的远程、无需身份验证性质扩大了威胁面,可能允许在多个机构中广泛利用。此外,数据泄露导致的声誉损害可能削弱对受影响组织的信任。中等严重性评级表明存在适度但切实的风险,需要及时关注以防止升级或与其他漏洞形成连锁攻击。
缓解建议 为缓解CVE-2025-14536,组织应立即对/index.php登录组件中的用户名和密码参数实施输入验证和净化。采用预编译语句或参数化查询对于防止SQL注入至关重要。如果无法修改源代码,部署具有SQL注入检测规则的Web应用程序防火墙(WAF)可以提供临时保护层。将受影响应用程序的网络访问限制在受信任的IP范围,并执行严格的身份验证控制,可以减少暴露风险。建议定期监控日志以查找可疑的登录尝试或异常查询模式。组织还应与供应商或社区联系以获取补丁或更新,并计划软件升级。进行专注于注入漏洞的安全审计和渗透测试将有助于识别剩余风险。最后,确保维护关键数据的备份,以便在数据被篡改或丢失时能够恢复。
受影响国家 德国,法国,英国,意大利,西班牙,荷兰,波兰
来源: CVE Database V5 发布时间: 2025年12月11日 星期四
CVE-2025-14536: 在code-projects班级与考试时间表管理系统中的SQL注入漏洞
▲0 ▼ 星标
中等 漏洞 CVE-2025-14536 cve cve-2025-14536
发布时间: 2025年12月11日 星期四 (2025/12/11, 20:02:06 UTC) 来源: CVE Database V5 供应商/项目: code-projects 产品: 班级与考试时间表管理系统
描述 在code-projects班级与考试时间表管理系统1.0版本中发现了一个安全漏洞。受此漏洞影响的是登录组件/index.php文件中的某项未知功能。对参数username/password的操纵导致了sql注入。攻击可以远程发起。漏洞利用代码已公开,可能被利用。
AI驱动分析 AI 最后更新: 2025/12/11, 20:18:36 UTC
技术分析 CVE-2025-14536是在code-projects班级与考试时间表管理系统应用程序1.0版本中发现的一个SQL注入漏洞,具体存在于登录组件的/index.php文件中。该漏洞源于对用户名和密码输入参数的不当净化,这些参数在没有充分验证或参数化的情况下被直接用于SQL查询。这一缺陷允许远程攻击者注入任意SQL命令,可能导致对后端数据库的未授权数据访问、修改或删除。该漏洞不需要身份验证或用户交互,因此攻击者极易利用。CVSS 4.0基础评分为6.9(中等严重性),反映了网络攻击向量、低复杂度、无需权限或用户交互,但对机密性、完整性和可用性的影响有限。尽管尚未报告有主动利用,但存在公开的漏洞利用代码,增加了攻击的可能性。受影响的软件主要用于教育环境管理班级和考试日程,使得敏感的学生和机构数据面临风险。由于缺乏供应商补丁或官方修复指导,用户需要立即采取防御措施。该漏洞的利用可能导致数据泄露、未授权的管理访问或调度服务中断,影响运营连续性和隐私合规。
潜在影响 对于欧洲组织,特别是使用code-projects班级与考试时间表管理系统1.0的教育机构,此漏洞构成重大风险。利用该漏洞可能导致敏感学生和员工信息的未授权披露,违反GDPR和其他数据保护法规,从而引发法律和财务处罚。调度数据的完整性可能受到损害,导致诸如考试重新安排或课程取消等运营中断。虽然可用性影响有限,但如果攻击者操纵或删除关键时间表数据,可能会影响服务连续性。攻击的远程、无需身份验证性质扩大了威胁面,可能允许在多个机构中广泛利用。此外,数据泄露导致的声誉损害可能削弱对受影响组织的信任。中等严重性评级表明存在适度但切实的风险,需要及时关注以防止升级或与其他漏洞形成连锁攻击。
缓解建议 为缓解CVE-2025-14536,组织应立即对/index.php登录组件中的用户名和密码参数实施输入验证和净化。采用预编译语句或参数化查询对于防止SQL注入至关重要。如果无法修改源代码,部署具有SQL注入检测规则的Web应用程序防火墙(WAF)可以提供临时保护层。将受影响应用程序的网络访问限制在受信任的IP范围,并执行严格的身份验证控制,可以减少暴露风险。建议定期监控日志以查找可疑的登录尝试或异常查询模式。组织还应与供应商或社区联系以获取补丁或更新,并计划软件升级。进行专注于注入漏洞的安全审计和渗透测试将有助于识别剩余风险。最后,确保维护关键数据的备份,以便在数据被篡改或丢失时能够恢复。
受影响国家 德国 法国 英国 意大利 西班牙 荷兰 波兰
需要更详细的分析? 获取专业版
专业功能 如需访问高级分析和更高的速率限制,请联系 root@offseq.com
技术细节 数据版本 5.2 分配者简称 VulDB 保留日期 2025-12-11T10:39:33.859Z Cvss版本 4.0 状态 PUBLISHED 威胁ID: 693b270d22246175c6965c1f 添加到数据库: 2025/12/11, 晚上8:18:21 最后丰富: 2025/12/11, 晚上8:18:36 最后更新: 2025/12/12, 凌晨2:18:36 查看次数: 9
社区评论 0 条评论 众包缓解策略,共享情报上下文,并为最有帮助的回复投票。登录添加您的意见,帮助防御者保持领先。 排序方式 热门最新最旧 写评论
社区提示 ▼ 加载社区见解… 想要提供缓解步骤或威胁情报上下文?请登录或创建帐户以加入社区讨论。
相关威胁 CVE-2025-10451: CWE-787: 在Insyde Software InsydeH2O中的越界写入 高 漏洞 2025年12月12日 星期五 CVE-2025-67779: (CWE-502) 不可信数据反序列化,(CWE-400) 在Meta react-server-dom-parcel中的不受控资源消耗 高 漏洞 2025年12月11日 星期四 CVE-2025-67780: CWE-306 在SpaceX Starlink Dish中关键功能缺失身份验证 中等 漏洞 2025年12月11日 星期四 CVE-2025-66452: CWE-79: 在danny-avila LibreChat中网页生成期间输入中和不当(跨站脚本) 中等 漏洞 2025年12月11日 星期四 CVE-2025-66451: CWE-20: 在danny-avila LibreChat中不当输入验证 中等 漏洞 2025年12月11日 星期四
操作 更新AI分析 专业版 AI分析的更新需要专业版控制台访问权限。在控制台 → 账单中升级。 请登录控制台以使用AI分析功能。
分享 外部链接 NVD 数据库 MITRE CVE 参考1 参考2 参考3 参考4 参考5 参考6 参考7 在Google上搜索
需要增强功能? 请联系 root@offseq.com 以获取具有改进分析和更高速率限制的专业版访问权限。
最新威胁 为需要预见重要动态的安全团队提供实时情报。
SEQ SIA 注册号 40203410806 Lastadijas 12 k-3, Riga, Latvia, LV-1050 价格包含增值税 (21%) 支持 radar@offseq.com +371 2256 5353 平台 仪表板 威胁 威胁地图 订阅源 API文档 帐户控制台 支持 OffSeq.com 职业发展 服务 联系我们 周一至周五,09:00–18:00 (东欧时间) 3个工作日内回复 政策与支付 §条款与条件 ↗ 交付条款 ↺ 退货与退款 🔒隐私政策 接受的支付方式 银行卡支付由EveryPay安全处理。 Twitter Mastodon GitHub Bluesky LinkedIn 键盘快捷键 导航 前往首页 g h 前往威胁 g t 前往地图 g m 前往订阅源 g f 前往控制台 g c 搜索与筛选 聚焦搜索 / 切换筛选器 f 选择“所有时间”筛选器 a 清除所有筛选器 c l 刷新数据 r UI控制 切换深色/浅色主题 t 显示键盘快捷键 ? 清除焦点/关闭模态窗口 Escape 辅助功能 导航至下一项 j 导航至上一项 k 激活选定项 Enter 提示:随时按 ? 键切换此帮助面板。多键快捷键如 g h 应按顺序按下。