CVE-2025-14668：campcodes高级在线考试系统中的SQL注入漏洞

严重性： 中等 类型： 漏洞

CVE-2025-14668

在 campcodes 高级在线考试系统 1.0 版本中发现一个漏洞。该漏洞影响了文件 /query/loginExe.php 中的一个未知函数。对参数 Username 进行操纵会导致 SQL 注入。攻击可以远程发起。漏洞利用代码现已公开，并可能被利用。

AI分析

技术摘要

CVE-2025-14668 是在 campcodes 高级在线考试系统 1.0 版本中发现的一个 SQL 注入漏洞。该漏洞存在于 /query/loginExe.php 脚本中，其中 Username 参数未经过正确的清理，允许攻击者在无需身份验证或用户交互的情况下远程注入恶意 SQL 代码。此缺陷使攻击者能够对后端数据库执行任意 SQL 命令，可能导致未经授权的数据泄露、修改或删除。该漏洞可通过网络利用，攻击复杂度低且无需任何权限，增加了其风险状况。CVSS 4.0 评分为 6.9，反映了中等严重性，考虑到其对机密性、完整性和可用性的影响有限，但易于利用。漏洞利用代码已被公开披露，尽管尚未报告在野的主动利用。此漏洞威胁考试数据、用户凭证和系统可用性的完整性，这些对于在线考试平台的可信度至关重要。目前缺乏供应商补丁或缓解措施，需要管理员立即采取防御措施。

潜在影响

对于欧洲组织，特别是依赖 campcodes 高级在线考试系统 1.0 的教育机构和认证机构，此漏洞构成重大风险。攻击者可能提取敏感的考生信息、篡改考试成绩或破坏考试服务，损害认证过程的可信度。数据泄露可能导致违反 GDPR 的隐私规定，从而引发法律和财务后果。考试数据的完整性至关重要；篡改可能助长欺诈或不公平优势。可用性影响可能导致考试延迟或取消，影响机构声誉。中等严重性评级表明存在中等但切实的风险，特别是考虑到漏洞利用代码的公开可用性。缺乏及时修补或缓解措施的组织面临定向攻击或机会主义利用的风险更高。

缓解建议

组织应立即对 Username 参数实施严格的输入验证和清理以防止 SQL 注入。在 loginExe.php 脚本中使用参数化查询或预编译语句对于消除注入向量至关重要。配置用于检测和阻止 SQL 注入模式的 Web 应用程序防火墙（WAF）等网络级防护可以提供临时防御。建议监控日志中的可疑登录尝试或异常数据库查询。由于目前没有官方补丁可用，组织应与供应商联系以获取更新，并考虑隔离或限制对易受攻击系统的访问。建议对整个应用程序进行彻底的安全审计，以查找类似的注入缺陷。此外，强制执行最小权限数据库访问和定期备份将减轻利用可能造成的损害。

受影响国家 德国、法国、英国、意大利、西班牙、荷兰

来源： CVE 数据库 V5 发布日期： 2025年12月14日 星期日

（下文为页面功能区域内容，如社区评论提示、相关威胁链接、页脚信息等，未包含核心技术细节，此处省略详细翻译）