10秒后自動關閉
PHPGurukul Men Salon Management System最新SQL注入漏洞及解決方法(CVE-2025-3370)

PHPGurukul Men Salon Management System 是一款基于 PHP 和 MySQL 開發(fā)的男士美發(fā)沙龍管理系統(tǒng),系統(tǒng)功能涵蓋發(fā)型師管理、預約管理、訂單處理等,旨在提升沙龍運營效率。


CVE安全漏洞共享平臺于2025-04-07公布該程序存在SQL注入漏洞。

漏洞編號:CVE-2025-3370

影響產品:1.0

漏洞級別

公布時間:2025-04-07

漏洞描述:在 PHPGurukul 男士美發(fā)沙龍管理系統(tǒng)(Men Salon Management System)1.0 版本中發(fā)現(xiàn)了一個被歸類為高危的漏洞。該漏洞源于 /admin/admin-profile.php 文件中的 contactnumber 參數(shù),對輸入的數(shù)據(jù)安全過濾不當,導致不法分子可以利用此漏洞發(fā)起SQL 注入攻擊。



解決辦法:

該漏洞存在于后臺,因此可以使用兩種方案解決:

1、對全站做SQL注入防護

2、對后臺做保護,禁止未授權人員訪問。(不法分子不能訪問后臺,自然也就沒法觸發(fā) /admin/admin-profile.php 的SQL注入漏洞了

可以使用『護衛(wèi)神·防入侵系統(tǒng)』的“SQL注入防護模塊”和“網(wǎng)站后臺保護模塊”來解決問題。



1、SQL注入防護和XSS跨站攻擊防護

護衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護模塊(如圖一),除了攔截SQL注入,還可以攔截XSS跨站腳本(如圖二),一并解決PHPGurukul的其他安全漏洞,攔截效果如圖三。


PHPGurukul防SQL注入

(圖一:SQL注入防護模塊)



PHPGurukul防XSS攻擊

(圖二:XSS跨站腳本攻擊防護)



SQL注入攔截效果

(圖三:SQL注入攻擊攔截效果)



2、網(wǎng)站后臺保護

『護衛(wèi)神·防入侵系統(tǒng)』的“網(wǎng)站后臺保護”模塊,可以對后臺進行保護,只有授權區(qū)域或輸入授權密碼才能訪問后臺。

如下圖四,只需要輸入后臺地址、授權密碼,就可以了。

PHPGurukul后臺保護

(圖四:PHPGurukul后臺保護)



設置好以后,訪問后臺時需要先驗證授權密碼(如圖五),只有輸入了正確的密碼才能訪問。

網(wǎng)站后臺保護

(圖五:訪問后臺需要輸入授權密碼)