- شناسه CVE-2025-9761 :CVE
- CWE-89, CWE-74 :CWE
- yes :Advisory
- منتشر شده: سپتامبر 1, 2025
- به روز شده: سپتامبر 1, 2025
- امتیاز: 7.3
- نوع حمله: SQL Injection
- اثر گذاری: Unknown
- حوزه: سیستم مدیریت محتوا
- برند: Campcodes
- محصول: Online Feeds Product Inventory System
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
آسیبپذیری در سیستم مدیریت موجودی محصولات آنلاین Campcodes نسخه 1.0 شناسایی شده است که به دلیل عدم اعتبارسنجی مناسب ورودی کاربر در پارامتر username فایل /feeds/index.php، امکان تزریق SQL را فراهم میکند. این ضعف به مهاجمان بدون نیاز به احراز هویت اجازه میدهد تا بهصورت از راه دور به پایگاه داده دسترسی غیرمجاز پیدا کرده، دادهها را تغییر دهند یا عملکرد سرویس را مختل کنند.
توضیحات
آسیبپذیری CVE-2025-9761 در سیستم مدیریت موجودی محصولات آنلاین Campcodes نسخه 1.0، ناشی از ضعف در اعتبارسنجی ورودیهای کاربر در فایل /feeds/index.php در کامپوننت Login است که امکان تزریق SQL (مطابق با CWE-89 و CWE-74) را فراهم میکند. این ضعف به دلیل استفاده مستقیم از پارامتر username در کوئریهای SQL بدون فیلتر یا پاکسازی مناسب رخ میدهد. مهاجمان بدون نیاز به احراز هویت میتوانند با ارسال درخواستهای مخرب HTTP POST به این فایل، کوئریهای SQL را دستکاری کرده و عملیات غیرمجازی مانند دسترسی به پایگاه داده، استخراج یا تغییر دادههای حساس و حتی اختلال در سرویسهای سیستم را انجام دهند. این آسیبپذیری از راه دور و بدون نیاز به تعامل کاربر یا احراز هویت قابل بهرهبرداری است که ریسک آن را بهویژه در سیستمهای در دسترس عمومی افزایش میدهد.
یک کد اثبات مفهومی (PoC) برای این آسیبپذیری ارائه شده که از ابزار sqlmap برای تست و بهرهبرداری استفاده میکند. این PoC شامل چندین نوع حمله تزریق SQL از جمله تزریق مبتنی بر boolean (blind)، تزریق مبتنی بر خطا (error-based) و تزریق مبتنی بر زمان (time-based) است. بر اساس اکسپلویتهای موجود مهاجم میتواند اطلاعات حساس مانند نامهای پایگاه داده یا محتوای جدول ها را استخراج کند، دادهها را تغییر دهد یا حتی کنترل کامل سیستم را به دست آورد.
در حال حاضر برای این آسیب پذیری هیچ پچ یا به روزرسانی رسمی منتشر نشده است. این موضوع ریسک بهرهبرداری را در سیستمهایی که همچنان از این نسخه استفاده میکنند، افزایش میدهد.
CVSS
| Score | Severity | Version | Vector String |
| 6.9 | MEDIUM | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:P |
| 7.3 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R |
| 7.3 | HIGH | 3.0 | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R |
| 7.5 | — | 2.0 | AV:N/AC:L/Au:N/C:P/I:P/A:P/E:POC/RL:ND/RC:UR |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 1.0 | Online Feeds Product Inventory System |
نتیجه گیری
با توجه به اینکه آسیبپذیری در سیستم مدیریت موجودی محصولات آنلاین Campcodes نسخه 1.0 امکان بهرهبرداری از راه دور و بدون احراز هویت را فراهم میکند و تاکنون هیچ بهروزرسانی یا پچی برای رفع آن منتشر نشده است، اقدامات فوری زیر برای کاهش ریسک و محافظت از دادهها و محیط عملیاتی توصیه میشود:
- بهروزرسانی یا جایگزینی نرمافزار: در صورت امکان، سیستمهای آسیبپذیر باید به نسخههای جدیدتر و ایمن به روزرسانی کرده یا با یک راهکار مدیریت موجودی جایگزین و تحت پشتیبانی جایگزین شوند.
- استفاده از دستورات آماده (Prepared Statements): این روش ورودی کاربر را فقط بهعنوان داده در نظر میگیرد و از اجرای آن بهعنوان کد SQL جلوگیری میکند، بنابراین میتواند از حملات تزریق SQL جلوگیری کند.
- محدودسازی دسترسی شبکهای: دسترسی به صفحات مدیریت و ورودیهای حساس مانند /feeds/index.php را تنها به شبکههای داخلی و کاربران مجاز محدود کنید.
- استفاده از فیلترهای ورودی و فایروال اپلیکیشن وب (WAF): ورودیهای کاربر را با فیلترهای قوی اعتبارسنجی کرده و از WAF برای شناسایی و مسدود کردن درخواستهای مخرب SQL استفاده کنید.
- اعمال حداقل سطح دسترسی برای پایگاه داده: حسابهای متصل به پایگاه داده باید تنها مجوزهای ضروری را داشته باشند و از استفاده از حسابهای سطح بالا مانند root یا admin برای عملیات روزمره جلوگیری شود.
- مانیتورینگ و شناسایی فعالیتهای مشکوک: لاگها و ترافیک شبکه را برای شناسایی تلاشهای تزریق SQL و فعالیت غیرمعمول بررسی کنید.
- مستندسازی و آموزش کارکنان: تیم امنیتی و کاربران مجاز باید با ماهیت آسیبپذیری و روشهای بهرهبرداری احتمالی آشنا باشند تا واکنش سریع و مؤثر در صورت مشاهده فعالیت مشکوک امکانپذیر باشد.
با اجرای این توصیهها، احتمال سوءاستفاده از آسیبپذیری به حداقل میرسد و امنیت دادهها و عملکرد سیستم مدیریت موجودی بهطور مؤثری حفظ خواهد شد.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
- T1190 – Exploit Public-Facing Application
مهاجم با بهرهبرداری از آسیبپذیری SQL Injection در پارامتر username فایل /feeds/index.php، از راه دور و بدون نیاز به تعامل کاربر، به پایگاه داده سیستم دسترسی اولیه پیدا میکند.
Execution (TA0002)
- T1203 – Exploitation for Client Execution
اجرای دستورات SQL مخرب در سرور پایگاه داده برای اجرای کدهای غیرمجاز یا تغییر دادهها.
Persistence (TA0003)
- T1547 – Boot or Logon Autostart Execution
(در صورت امکان) مهاجم ممکن است با تغییر در تنظیمات سیستم یا پایگاه داده، دسترسی دائمی به سیستم حفظ کند.
Privilege Escalation (TA0004)
- T1068 – Exploitation for Privilege Escalation
استفاده از تزریق SQL برای افزایش سطح دسترسی در پایگاه داده و کسب دسترسیهای بیشتر.
Defense Evasion (TA0005)
- T1564 – Hide Artifacts
دستکاری لاگها یا اجرای کوئریهای مخرب به گونهای که فعالیتهای مخرب از شناسایی مخفی بمانند.
Credential Access (TA0006)
- T1003 – Credential Dumping
استخراج اطلاعات احراز هویت ذخیره شده در پایگاه داده در صورت موجود بودن.
Discovery (TA0007)
- T1083 – File and Directory Discovery
شناسایی جداول، ساختار پایگاه داده و دادههای حساس از طریق کوئریهای SQL.
Impact (TA0040)
- T1499 – Endpoint Denial of Service
اجرای کوئریهای مخرب که میتواند منجر به از کار افتادن سرویس و ایجاد اختلال در عملکرد سیستم شود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-9761
- https://www.cvedetails.com/cve/CVE-2025-9761/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-9761
- https://vuldb.com/?submit.640708
- https://vuldb.com/?id.322062
- https://vuldb.com/?ctiid.322062
- https://github.com/HAO-RAY/HCR-CVE/issues/2
- https://nvd.nist.gov/vuln/detail/CVE-2025-9761
- https://cwe.mitre.org/data/definitions/89.html
- https://cwe.mitre.org/data/definitions/74.html
