CVE-2025-10832

چکیده

آسیب‌پذیری در نرم‌افزار Pet Grooming Management نسخه 1.0 از SourceCodester، ناشی از تزریق SQL (SQL Injection) در فایل /admin/fetch_product_details.php از طریق پارامتر barcode است. این ضعف به مهاجم از راه دور اجازه می‌دهد کوئری‌های مخرب SQL اجرا کند و در نهایت منجر به دسترسی غیرمجاز به پایگاه داده، سرقت یا تغییر داده‌های حساس شود.

توضیحات

آسیب‌پذیری CVE-2025-10832 در Pet Grooming Management Software نسخه 1.0 از SourceCodester، ناشی از تزریق SQL (SQL Injection) در تابع ناشناخته از فایل /admin/fetch_product_details.php است و مطابق با CWE-89 و CWE-74 طبقه‌بندی می‌شود.

پارامتر barcode بدون اعتبارسنجی یا پاکسازی مناسب مستقیماً در کوئری SQL استفاده می‌شود که این امر به مهاجم اجازه می‌دهد کوئری‌های مخرب را تزریق کرده و عملیات غیرمجاز مانند خواندن، تغییر یا حذف داده‌ها را انجام دهد.

این حمله از راه دور و بدون نیاز به احراز هویت قابل بهره‌برداری است و با پیچیدگی پایین و بدون تعامل کاربر انجام می‌شود. مهاجم‌ معمولاً از ابزارهایی مانند sqlmap (ابزاری خودکار برای شناسایی و سوءاستفاده از تزریق SQL) برای استخراج نام پایگاه‌داده‌ها، جدول ها و داده‌های حساس استفاده می‌کند. پیامدهای آسیب پذیری شامل دسترسی غیرمجاز به پایگاه داده، افشای اطلاعات حساس (مانند جزئیات مشتریان یا محصولات)، دستکاری داده‌ها، کنترل کامل سیستم و حتی اختلال در سرویس است که تهدیدی جدی برای امنیت سیستم و تداوم کسب‌وکار به شمار می‌رود.

کد اثبات مفهومی (PoC) عمومی منتشر شده که شامل جزئیات پیلود، دستور sqlmap برای تست (مانند python sqlmap.py -r data.txt –dbs) و اسکرین‌شات‌های نتایج استخراج داده‌ها است. این PoC برای اثبات امکان تزریق و استخراج اطلاعات طراحی شده و می‌تواند منجر به نقض داده‌ها شود. نرم‌افزار مذکور در دسته freeware (رایگان برای دانلود یا استفاده) قرار دارد و تا زمان نگارش این گزارش، SourceCodester پچ یا به‌روزرسانی امنیتی رسمی برای رفع این آسیب پذیری منتشر نکرده است.

CVSS

 لیست محصولات آسیب پذیر

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که SourceCodester را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

 نتیجه گیری

این آسیب‌پذیری با شدت بالا در Pet Grooming Management Software به دلیل عدم اعتبارسنجی پارامتر barcode، امکان تزریق SQL و دسترسی غیرمجاز به پایگاه داده را فراهم کرده و می‌تواند منجر به افشای داده‌های حساس، دستکاری اطلاعات یا اختلال در سیستم شود. وجود PoC عمومی ریسک سوءاستفاده را افزایش می‌دهد. برای کاهش ریسک، اقدامات زیر توصیه می‌شود:

• استفاده از Prepared Statements و Parameter Binding: : کوئری‌های SQL را با Prepared Statements (کوئری آماده) و اتصال امن پارامترها (parameter binding) اجرا کنید تا ورودی کاربر به عنوان داده تلقی شده و امکان تزریق SQL از بین برود.
• اعتبارسنجی و فیلتر ورودی‌ها: ورودی‌های کاربر مانند barcode را اعتبارسنجی و فیلتر کنید تا فقط فرمت مورد انتظار مجاز باشد. از توابع مانند mysqli_real_escape_string یا PDO برای پاکسازی استفاده نمایید.
• کاهش مجوزهای حساب پایگاه داده: حساب اتصال به پایگاه داده را با حداقل مجوزهای لازم (مانند SELECT/INSERT) پیکربندی کنید. از استفاده حساب‌های root یا admin برای عملیات عادی خودداری کرده تا در صورت بهره‌برداری، آسیب محدود شود.
• ممیزی امنیتی منظم: کد و سیستم را به طور دوره‌ای بررسی کرده، از ابزارهایی مانند sqlmap برای تست آسیب‌پذیری‌ها استفاده کنید.
• به‌روزرسانی نرم‌افزار: وب‌سایت SourceCodester را برای دریافت نسخه‌های جدید بررسی کرده و در صورت انتشار پچ، فوراً نرم‌افزار را به‌روزرسانی نمایید؛ در غیر این صورت، از فایروال وب (WAF) برای فیلتر درخواست‌های مشکوک استفاده کنید.
• آموزش و آگاهی: توسعه‌دهندگان را نسبت به ریسک‌ تزریق SQL آگاه سازید.

اجرای این اقدامات سطح امنیت سیستم را بهبود می‌بخشد و ریسک بهره‌برداری از تزریق SQL را تا زمان انتشار پچ رسمی به حداقل می‌رساند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
آسیب‌پذیری SQLi در fetch_product_details.php پارامتر barcode امکان ورود از راه دور را فراهم می‌کند. مهاجم با ارسال payload‌ مستقیم به پارامتر آسیب‌پذیر می‌تواند درخواست‌های تزریقی را اجرا کند و مسیر ورودیه اولیه به دیتابیس/اپلیکیشن باز شود.

Discovery (TA0007)
پس از اجرای تزریق، مهاجم می‌تواند ساختار دیتابیس را کشف کند

Credential Access (TA0006)
تزریق SQL می‌تواند منجر به استخراج مدارک (نام‌کاربری/هَش/پسوردها) یا توکن‌ها از جداول شود؛ در برخی پیاده‌سازی‌ها امکان خواندن credential ذخیره‌شده وجود دارد.

Collection (TA0009)
مهاجم می‌تواند داده‌های حساس (اطلاعات مشتریان، سفارشات، قیمت‌ها) را با کوئری‌های SELECT استخراج و برای تحلیل بعدی جمع‌آوری کند.

Persistence (TA0003)
بهره‌برداری موفق می‌تواند به ایجاد حساب‌های کاربری جدید، تغییر مقادیر سطوح دسترسی یا نوشتن backdoor در جداول منجر شود تا دسترسی دائم حفظ شود.

Privilege Escalation (TA0004)
با تزریق مناسب، مهاجم می‌تواند کوئری‌هایی اجرا کند که مجوزهای دیتابیس را ارتقا می‌دهند یا از ضعف‌های منطقی برای دسترسی‌های بالاتر سوءاستفاده می‌کنند.

Defense Evasion (TA0005)
مهاجم ممکن است از تکنیک‌هایی مثل obfuscated SQL, time-based blind SQL یا union-based tricks برای دور زدن WAF/ قواعد تشخیص استفاده کند.

Impact (TA0040)
پیاده‌سازی موفق می‌تواند منجر به افشای گسترده داده‌ها، دستکاری یا حذف رکوردها و اختلال در عملکرد سرویس شود که پیامدهای جدی محرمانگی، یکپارچگی و در دسترس‌پذیری دارد.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-10832
2. https://www.cvedetails.com/cve/CVE-2025-10832/
3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-10832
4. https://vuldb.com/?submit.656004
5. https://vuldb.com/?id.325189
6. https://vuldb.com/?ctiid.325189
7. https://github.com/lalalalalalala555/Pet-grooming-management-v1.0-sql-injection/blob/main/report.md
8. https://nvd.nist.gov/vuln/detail/CVE-2025-10832
9. https://cwe.mitre.org/data/definitions/89.html
10. https://cwe.mitre.org/data/definitions/74.html