- شناسه CVE-2025-9660 :CVE
- CWE-89, CWE-74 :CWE
- yes :Advisory
- منتشر شده: آگوست 29, 2025
- به روز شده: آگوست 29, 2025
- امتیاز: 7.3
- نوع حمله: SQL Injection
- اثر گذاری: Unknown
- حوزه: سیستم مدیریت محتوا
- برند: SourceCodester
- محصول: Bakeshop Online Ordering System
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
آسیبپذیری تزریق SQL در سیستم سفارش آنلاین SourceCodester Bakeshop نسخه 1.0 شناسایی شده است. این آسیب پذیری در فایل /passwordrecover.phpبه دلیل اعتبارسنجی ناکافی پارامتر phonenumber ایجاد شده به مهاجمان غیرمجاز اجازه میدهد از راه دور کوئری های SQL مخرب را اجرا کنند. این موضوع می تواند منجر به دسترسی غیرمجاز به پایگاه داده، افشای اطلاعات حساس، دستکاری دادهها یا حتی کنترل کامل سیستم شود.
توضیحات
آسیبپذیری CVE-2025-9660 از نوع SQL Injection مطابق با CWE-89 و CWE-74 است. این آسیب پذیری در فایل /passwordrecover.php رخ میدهد، جایی که پارامتر phonenumber بدون اعتبارسنجی یا پاکسازی مناسب مستقیماً در کوئری های SQL استفاده میشود. این امر به مهاجمان غیرمجاز اجازه میدهد از راه دور بدون نیاز به تعامل کاربر حمله را انجام دهند.
این ضعف تأثیر محدودی بر محرمانگی، یکپارچگی و در دسترس پذیری دارد. کد اثبات مفهومی (PoC) منتشرشده نشان میدهد که با استفاده از ابزاری مانند sqlmap و ارسال درخواست POST به آدرس /passwordrecover.php با پارامتر phonenumber حاوی پیلود، امکان اجرای تزریق SQL مبتنی بر زمان (time-based blind SQL injection) وجود دارد.
این آسیب پذیری میتواند منجر به دسترسی غیرمجاز به پایگاه داده، افشای اطلاعات حساس، دستکاری دادهها و ایجاد اختلال در سرویس شود. تاکنون SourceCodester به این موضوع پاسخ نداده و هیچ پچ رسمی برای رفع آسیبپذیری منتشر نشده است.
CVSS
| Score | Severity | Version | Vector String |
| 6.9 | MEDIUM | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:P |
| 7.3 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R |
| 7.3 | HIGH | 3.0 | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R |
| 7.5 | — | 2.0 | AV:N/AC:L/Au:N/C:P/I:P/A:P/E:POC/RL:ND/RC:UR |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 1.0 | Bakeshop Online Ordering System |
نتیجه گیری
با توجه به ماهیت این آسیبپذیری و عدم انتشار پچ رسمی از سوی SourceCodester، ضروری است که کاربران سیستم سفارش آنلاینBakeshop اقدامات کاهش ریسک فوری را انجام دهند. این اقدامات شامل موارد زیر است:
- محدود کردن دسترسی شبکه: دسترسی به وب سرورها و فایلهای حساس باید تنها از طریق شبکههای داخلی یا VPN امکانپذیر باشد.
- بازنگری دسترسیهای پایگاه داده: حسابهای اتصال به پایگاه داده باید کمترین مجوزهای ممکن را داشته باشند و از حسابهای با دسترسی مدیر (root/admin) برای فعالیت های عادی استفاده نشود.
- اعتبارسنجی و پاکسازی ورودیها: استفاده از prepared statements و parameter binding برای تمام کوئریها، بهویژه پارامترهای ورودی کاربران، الزامی است تا از تزریق SQL جلوگیری شود.
- نظارت و لاگگیری: ثبت لاگ تمامی درخواستهای ورودی و فعالیتهای غیرعادی در سرور و پایگاه داده برای شناسایی سریع حملات احتمالی.
- بازرسی و تست امنیتی مداوم: انجام دورهای تستهای امنیتی و بررسی کد برای شناسایی آسیبپذیریهای احتمالی قبل از بهرهبرداری مهاجمان.
- آمادگی برای جایگزینی سیستم: در صورت عدم امکان اعمال اصلاحات ایمن، در نظر گرفتن جایگزین امنتر برای سیستم جهت حفظ امنیت دادهها.
اجرای منظم این اقدامات میتواند ریسک سوءاستفاده از این آسیبپذیری را به حداقل رسانده و امنیت، یکپارچگی و دسترسپذیری سیستم را حفظ کند.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
- T1071 – Application Layer Protocol: Web Protocols (HTTP/HTTPS)
مهاجم ممکن است با استفاده از ورودیهای مخرب در پارامتر phonenumber در مسیر /passwordrecover.php، از طریق پروتکل HTTP به سیستم آسیبپذیر دسترسی پیدا کند و کوئریهای SQL مخرب را اجرا کند. این حمله به مهاجم این امکان را میدهد که از راه دور و بدون نیاز به تعامل کاربر، به سامانه وارد شود.
Execution (TA0002)
- T1203 – Exploitation for Client Execution
با بهرهبرداری از آسیبپذیری SQL Injection در سیستم، مهاجم قادر است که دستورات SQL دلخواه را از راه دور اجرا کند. این باعث میشود که مهاجم بتواند اطلاعات موجود در پایگاه داده را دستکاری کرده یا دادههای حساس را استخراج کند.
Persistence (TA0003)
- T1547 – Boot or Logon Autostart Execution
در صورتی که مهاجم قادر به استخراج یا تغییر دادهها از پایگاه داده باشد، ممکن است دادههای حساس را برای ایجاد دسترسیهای دائم ذخیره کرده یا از آسیبپذیری استفاده کند تا پایگاه داده را بهطور دائمی تحت کنترل خود درآورد.
Privilege Escalation (TA0004)
- T1068 – Exploitation for Privilege Escalation
در صورت بهرهبرداری موفق از SQL Injection، مهاجم میتواند سطح دسترسی خود را از دسترسی محدود به پایگاه داده به دسترسیهای بالاتر ارتقا دهد و حتی کنترل کامل سیستم را بهدست آورد.
Defense Evasion (TA0005)
- T1070 – Indicator Removal on Host
پس از اجرای حمله و دسترسی به پایگاه داده، مهاجم ممکن است با حذف یا تغییر لاگهای درخواستهای ورودی مخرب، سعی در مخفی کردن ردپای خود و جلوگیری از شناسایی توسط ابزارهای نظارتی داشته باشد.
Impact (TA0040)
- T1499 – Endpoint Denial of Service (DoS)
در صورت استفاده از SQL Injection، مهاجم ممکن است با ارسال کوئریهای مخرب و مصرف منابع سیستم، موجب ایجاد اختلال در عملکرد سیستم و در نهایت منجر به انکار سرویس (DoS) برای کاربران دیگر شود.
Exfiltration (TA0010)
- T1041 – Exfiltration Over Command and Control Channel
با دسترسی به پایگاه داده و اطلاعات حساس، مهاجم میتواند از کانالهای Command and Control برای استخراج دادهها و ارسال اطلاعات حساس خارج از سیستم استفاده کند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-9660
- https://www.cvedetails.com/cve/CVE-2025-9660/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-9660
- https://vuldb.com/?submit.637236
- https://vuldb.com/?id.321868
- https://vuldb.com/?ctiid.321868
- https://github.com/daimabiabia/cve/issues/1
- https://nvd.nist.gov/vuln/detail/CVE-2025-9660
- https://cwe.mitre.org/data/definitions/89.html
- https://cwe.mitre.org/data/definitions/74.html
