PHP PDO Prepared Statements SQL Injection Vulnerability
漏洞信息
漏洞名称: PHP PDO Prepared Statements SQL Injection Vulnerability
漏洞编号:
- CVE: CVE-2025-32429
漏洞类型: SQL注入
漏洞等级: 高危
漏洞描述: 该漏洞(CVE-2025-32429)影响PHP的PDO预处理语句功能,当模拟模式启用时,攻击者可以利用此漏洞进行SQL注入攻击。PDO(PHP Data Objects)是PHP中一个轻量级的、一致的接口,用于访问数据库。它提供了一个数据访问抽象层,这意味着,无论使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据。此漏洞的存在是因为在模拟模式下,PDO预处理语句未能正确过滤用户输入,导致攻击者可以构造恶意的SQL语句,绕过预处理语句的安全机制,执行未授权的数据库操作。这种漏洞的危害性在于,攻击者可以利用它来窃取、篡改或删除数据库中的数据,甚至可能获得数据库服务器的控制权。由于PDO广泛应用于各种PHP项目中,此漏洞的影响范围较广,特别是在那些未正确配置PDO模拟模式的应用中。攻击者无需认证即可利用此漏洞,且可以自动化攻击,因此对系统安全构成严重威胁。
产品厂商: PHP
产品名称: PHP PDO Prepared Statements
来源: https://github.com/amir-othman/CVE-2025-32429
类型: CVE-2025:github search
仓库文件
- README.md
- exploit.c
来源概述
CVE-2025-32429 – SQL Injection in PHP PDO Prepared Statements
This repository contains a proof-of-concept exploit for CVE-2025-32429,
a vulnerability affecting PHP PDO prepared statements when emulation is enabled.
📄 References
- Original research by Assetnote:
https://slcyber.io/assetnote-security-research-center/a-novel-technique-for-sql-injection-in-pdos-prepared-statements - NVD Entry:
https://nvd.nist.gov/vuln/detail/CVE-2025-32429
⚠ Disclaimer
This code is for educational and security research purposes only.
Do NOT use it against systems you do not own or have explicit permission to test.
The author is not responsible for misuse of this code.
🛠 Usage
gcc exploit.c -o exploit -lcurl
./exploit -u http://target.com