CVE-2025-14537: code-projects 课表与考试管理系统中的SQL注入漏洞

严重性：中等 类型：漏洞 CVE编号：CVE-2025-14537

已在 code-projects 课表与考试管理系统 1.0 版本中发现一个安全弱点。此问题影响文件 /preview7.php 的某个未知功能。对参数 course_year_section/semester 的操纵会导致SQL注入。该攻击可以进行远程利用。漏洞利用代码已公开，可能被攻击者利用。

AI 分析

技术总结

CVE-2025-14537 是一个在 code-projects 课表与考试管理系统软件 1.0 版本中发现的 SQL 注入漏洞，具体位于 /preview7.php 脚本中。该漏洞源于对 course_year_section/semester 参数的不当净化处理，攻击者可以操纵该参数注入任意 SQL 代码。此注入缺陷允许远程攻击者在无需身份验证或用户交互的情况下，在后端数据库上执行未经授权的 SQL 查询。其 CVSS 4.0 基础评分为 6.9（中等），反映了网络攻击向量、低攻击复杂性以及无需特权或用户交互的特点。该漏洞可能导致受影响系统数据的机密性、完整性和可用性遭到部分破坏，例如未经授权的数据泄露、修改或删除。尽管尚未报告有活跃的利用活动，但公开的漏洞利用代码增加了未来遭受攻击的可能性。此漏洞仅影响该软件的 1.0 版本，该版本主要用于教育机构管理课表和考试时间表。目前缺乏供应商补丁或更新，意味着各组织必须自行实施缓解措施。该漏洞不涉及任何可能减轻影响的额外安全控制（如沙箱或加密），因此受影响的用户必须及时处理。

潜在影响

对于欧洲的组织，特别是使用该受影响软件的教育机构，此漏洞带来了未经授权访问敏感学术排课数据以及可能其他相连数据库信息的重大风险。利用此漏洞可能导致涉及学生或教职员工信息的数据泄露、导致操作中断的课表操纵，或删除影响学术活动的关键排课数据。漏洞利用的远程性和无需认证的特点增加了暴露风险，因为攻击者可以在无需凭证的情况下从任何地方发起攻击。这也可能成为在机构网络内进一步网络入侵或横向移动的立足点。对机密性、完整性和可用性的影响可能会扰乱学术运作并损害机构声誉。鉴于漏洞利用代码的公开可用性，针对欧洲教育实体的定向攻击风险有所增加。缺乏健全监控或事件响应能力的组织可能面临长期未被察觉的入侵。

缓解建议

组织应立即审计其使用的 code-projects 课表与考试管理系统 1.0 版本，并隔离受影响的实例。由于目前没有官方补丁，应对 course_year_section/semester 参数实施严格的输入验证和净化以防止 SQL 注入。在应用程序代码中使用参数化查询或预编译语句，以消除直接的 SQL 命令注入。尽可能将受影响的应用程序的网络访问限制在受信任的 IP 范围内，并监控日志中是否存在可疑的查询模式或对 /preview7.php 的重复访问尝试。部署具有针对此漏洞定制的 SQL 注入检测规则的 Web 应用防火墙（WAF）。定期进行数据库备份，以便在数据损坏或删除时能够恢复。与供应商或社区联系以获取更新或补丁，并在可用时计划升级。教育 IT 和安全团队了解此漏洞及快速事件响应的重要性。如果发生入侵，考虑进行网络分段以限制潜在的横向移动。

受影响国家

德国、法国、英国、意大利、西班牙、荷兰、波兰、瑞典

来源： CVE 数据库 V5 发布时间： 2025年12月11日 星期四