10秒后自動(dòng)關(guān)閉
PHPGurukul Men Salon Management System最新SQL注入漏洞及解決方法(CVE-2025-3370)

PHPGurukul Men Salon Management System 是一款基于 PHP 和 MySQL 開發(fā)的男士美發(fā)沙龍管理系統(tǒng),系統(tǒng)功能涵蓋發(fā)型師管理、預(yù)約管理、訂單處理等,旨在提升沙龍運(yùn)營效率。


CVE安全漏洞共享平臺(tái)于2025-04-07公布該程序存在SQL注入漏洞。

漏洞編號(hào):CVE-2025-3370

影響產(chǎn)品:1.0

漏洞級(jí)別

公布時(shí)間:2025-04-07

漏洞描述:在 PHPGurukul 男士美發(fā)沙龍管理系統(tǒng)(Men Salon Management System)1.0 版本中發(fā)現(xiàn)了一個(gè)被歸類為高危的漏洞。該漏洞源于 /admin/admin-profile.php 文件中的 contactnumber 參數(shù),對輸入的數(shù)據(jù)安全過濾不當(dāng),導(dǎo)致不法分子可以利用此漏洞發(fā)起SQL 注入攻擊。



解決辦法:

該漏洞存在于后臺(tái),因此可以使用兩種方案解決:

1、對全站做SQL注入防護(hù)

2、對后臺(tái)做保護(hù),禁止未授權(quán)人員訪問。(不法分子不能訪問后臺(tái),自然也就沒法觸發(fā) /admin/admin-profile.php 的SQL注入漏洞了

可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』的“SQL注入防護(hù)模塊”和“網(wǎng)站后臺(tái)保護(hù)模塊”來解決問題。



1、SQL注入防護(hù)和XSS跨站攻擊防護(hù)

護(hù)衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護(hù)模塊(如圖一),除了攔截SQL注入,還可以攔截XSS跨站腳本(如圖二),一并解決PHPGurukul的其他安全漏洞,攔截效果如圖三。


PHPGurukul防SQL注入

(圖一:SQL注入防護(hù)模塊)



PHPGurukul防XSS攻擊

(圖二:XSS跨站腳本攻擊防護(hù))



SQL注入攔截效果

(圖三:SQL注入攻擊攔截效果)



2、網(wǎng)站后臺(tái)保護(hù)

『護(hù)衛(wèi)神·防入侵系統(tǒng)』的“網(wǎng)站后臺(tái)保護(hù)”模塊,可以對后臺(tái)進(jìn)行保護(hù),只有授權(quán)區(qū)域或輸入授權(quán)密碼才能訪問后臺(tái)。

如下圖四,只需要輸入后臺(tái)地址、授權(quán)密碼,就可以了。

PHPGurukul后臺(tái)保護(hù)

(圖四:PHPGurukul后臺(tái)保護(hù))



設(shè)置好以后,訪問后臺(tái)時(shí)需要先驗(yàn)證授權(quán)密碼(如圖五),只有輸入了正確的密碼才能訪問。

網(wǎng)站后臺(tái)保護(hù)

(圖五:訪問后臺(tái)需要輸入授權(quán)密碼)