关键漏洞信息 漏洞名称: Code-Projects Simple Online Hotel Reservation System 2.0 /admin/add_account.php 名称 SQL 注入 CVE 编号: CVE-2025-12594 CVCE编号: CVCE-100-330889 VDB编号: VDB-330889 漏洞类型: SQL 注入 影响产品: Code-Projects Simple Online Hotel Reservation System 2.0 影响文件: /admin/add_account.php 攻击参数: Name 风险等级: Critical 漏洞描述 漏洞概述: 一个被分类为严重级别的漏洞在 code-projects Simple Online Hotel Reservation System 2.0 的 /admin/add_account.php 文件中被发现,该漏洞由 Name 参数的操纵导致 SQL 注入。 CVE 定义: CWE-89,使用来自上游组件的外部影响输入来构造 SQL 命令的所有或部分,但不正确中和或未正确中和特殊元素,导致 SQL 命令在发送到下游组件时被修改。 影响: 该漏洞可能影响系统的机密性、完整性和可用性。 漏洞利用 通告: 该漏洞已在 github.com 公布。 漏洞利用难度: 容易。 远程攻击: 可以远程发起攻击。 验证层次: 利用该漏洞需要额外的认证层次。 技术细节: 已知技术细节及公开的漏洞利用。 攻击技术: MITRE ATT&CK 项目将该漏洞的攻击技术标记为 T1505。 利用获取: 可在 github.com 下载利用代码,声明为概念验证。 易受攻击目标: 通过特定搜索词(inurl:admin/add_account.php)使用 Google Hacking 可以找到易受攻击的目标。