关键信息 漏洞概述 CVE ID: CVE-2025-61455 披露日期: 2025年10月13日 严重性: CRITICAL (CVSS v3.1: 9.8) 影响产品 供应商: Independent (Bhavishtya-123) 项目: E-commerce 版本: v1.0 文件: signup.inc.php 漏洞端点: 漏洞详情 应用程序在SQL查询中直接使用了未经验证的用户输入,具体在 文件中的 参数。 攻击者可以通过 参数注入恶意SQL代码,实现基于时间的盲注SQL注入攻击。 CWE分类 CWE ID: CWE-89 - SQL注入 CVSS评分 分数: 9.8 严重性: CRITICAL 向量字符串: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H 影响 成功利用可能导致: - 完全绕过身份验证 - 未经授权访问特权功能 - 数据泄露 - 数据操纵或删除 - 后端数据库完全被攻陷 - 远程代码执行的可能性 证明概念(PoC) 1. 克隆仓库: 2. 本地托管:使用XAMPP/LAMP部署项目并导航至 3. 注入有效载荷:通过POST请求发送恶意HTTP请求,包含时间延迟的SQL注入有效载荷。 建议措施 使用预处理语句替换动态SQL查询 对所有用户输入进行输入验证和清理 部署Web应用防火墙(WAF)以阻止已知的SQL注入模式 进行定期的代码审计和渗透测试 实现参数化查询 在可能的情况下使用白名单进行输入验证