CVE-2025-14711: SQL Injection in FantasticLBP Hotels Server

严重性：中等 类型：漏洞

CVE-2025-14711是在FantasticLBP酒店服务器中发现的一个中等严重性的SQL注入漏洞，具体存在于/controller/api/hotelList.php端点。该缺陷源于对pickedHotelName/type参数的不当净化处理，允许远程攻击者在无需身份验证或用户交互的情况下注入恶意SQL查询。尽管目前野外尚无已知活跃的利用，但已公开的利用程序增加了被攻击的风险。供应商未对披露尝试做出回应，且暂无补丁可用。此漏洞可能导致未授权的数据访问、修改或删除，影响酒店预订数据的机密性、完整性和可用性。使用该软件的欧洲组织，尤其是在旅游和酒店业占重要地位的国家，面临风险。缓解措施需要立即实施输入验证、使用参数化查询和网络级防护。由于市场渗透率和在酒店服务中的战略重要性，西班牙、意大利、法国、德国和英国等国家最有可能受到影响。

AI分析

技术总结

CVE-2025-14711是在FantasticLBP酒店服务器产品中发现的SQL注入漏洞，影响版本直至提交67b44df162fab26df209bd5d5d542875fcbec1d0。该漏洞存在于/controller/api/hotelList.php文件中，其中pickedHotelName/type参数未经适当净化，允许攻击者注入任意SQL命令。此注入漏洞可被远程利用，无需身份验证或用户交互，使得攻击者极易得手。该漏洞的CVSS 4.0基础评分为6.9，表明为中等严重性，具有网络攻击向量、低复杂度、且无需特权或用户交互。影响包括可能未授权披露、修改或删除后端数据库中存储的敏感酒店预订数据。供应商遵循滚动发布策略，但未回应早期的披露尝试，且尚未发布官方补丁或缓解措施。公开可用利用程序的存在增加了被利用的可能性，尽管尚未有活跃利用的报告。该漏洞影响系统的机密性、完整性和可用性，对服务提供商及其客户均构成风险。

潜在影响

对于欧洲组织，特别是酒店和旅游行业中使用FantasticLBP酒店服务器的机构，此漏洞构成重大风险。利用该漏洞可能导致未授权访问敏感的客户数据，包括个人身份信息和预订详情，从而造成隐私泄露和违反GDPR等法规。数据完整性可能受到损害，攻击者可篡改预订信息或破坏服务可用性，可能导致运营停机和声誉损害。攻击向量的远程和无身份验证特性扩大了威胁面，使网络犯罪分子更容易同时针对多个组织。鉴于西班牙、意大利、法国、德国和英国等国旅游业的重要性，成功利用可能产生更广泛的经济影响。此外，供应商缺乏回应且无补丁，加剧了组织自行实施缓解措施以防止利用的紧迫性。

缓解建议

组织应立即对所有用户提供的数据（尤其是pickedHotelName/type参数）实施严格的输入验证和净化，以防止SQL注入。重构受影响代码以使用参数化查询或预编译语句对于消除注入向量至关重要。应部署和配置网络级防护，如Web应用防火墙（WAF），以检测和阻止针对易受攻击端点的SQL注入尝试。应定期进行安全审计和代码审查，以识别和修复类似漏洞。应增强对API访问的监控和日志记录，以便及时检测可疑活动。在缺乏供应商补丁的情况下，组织应考虑隔离受影响的服务或将访问限制在受信任的网络中，直至修复可用。此外，组织必须通过保护客户数据并制定与此漏洞相关的潜在数据泄露事件响应计划来确保符合GDPR。

受影响国家

西班牙、意大利、法国、德国、英国

技术详情

• 数据版本： 5.2
• 分配者简称： VulDB
• 预留日期： 2025-12-14T20:07:17.249Z
• Cvss 版本： 4.0
• 状态： 已发布

威胁ID： 693fc3c1d9bcdf3f3dc24d4e 添加到数据库： 2025年12月15日，上午8:16:01 最后丰富： 2025年12月15日，上午8:30:15 最后更新： 2025年12月15日，下午1:56:43 浏览次数： 18

来源： CVE数据库 V5 发布日期： 2025年12月15日，星期一