Skip to main content

CVE-2025-63531

Summary

Blood Bank Management System v1.0의 receiverLogin.php 컴포넌트에서 발견된 SQL 인젝션 취약점 remail 및 rpassword 등 로그인 입력이 적절히 정제되지 않아 인증 우회 및 데이터베이스 임의조작이 가능하다는 보고가 있으며 여러 공개 데이터베이스(NVD 등)가 본 취약점을 CVSS v3.1 기본점수 10.0 (Critical) 으로 분류하고 있음.

1. 취약점 사례 조사

CVE-2025-63531

  • 영향 대상/버전 Blood Bank Managerment System 1.0 (공개 레포/배포본 기준)
  • 취약점 유형 receiverLogin.php(로그인 처리) — 사용자 입력을 SQL 쿼리에 충분히 중화(escape/parameterize)하지 않아 SQL Injection 발생. 보고서들은 remailrpassword 필드 조작으로 인증 우회가 가능하다고 명시
  • 발견-공개 시점 NVD/CNA 기록에 따르면 2025-12-01(또는 2025-12-01에 공개·기록, 관련 메타데이터 업데이트 포함). 여러 취약점 DB 및 어드바이저리가 동일 시점에 레코드·어드바이저리를 게시

2. 취약점 위험도 / 심각도 분석 (CVSS 스코어 기반)

  • 공개 CVSS v3.1 기본 점수: 10.0 (Critical)
  • 공격자 위치(AV:N)
    원격에서 공격 가능(웹 애플리케이션 노출 시)
  • 권한(PR:N)
    권한 불필요 → 익명(비인증) 상태에서 공격 가능
  • 사용자 상호작용 (UI:N)
    사용자 상호작용 불필요 → 공격자는 피해자 개입 없이 성공 가능
  • 영향(Confidentiality/Integrity/Availability = H/H/H)
    기밀성·무결성에 심대한 영향(데이터 노출·변조 가능), 가용성은 직접적인 고의적 파괴보다는 권한 탈취/정보유출이 주된 우려.

3. CVE → CWE 연결 분석

  • 주요 연결 CWE: CWE-89 — Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
    로그인 파라미터를 직접 쿼리에 결합하는 케이스로 전형적인 CWE-89 사례에 해당
  • 파생 가능성
    인증 우회 → 권한 획득 → 관리자 기능 접근 또는 DB 내 민감정보(예: 환자/기증자 데이더) 추출 등으로 확장될 수 있음. 또한 애플리케이션의 다른 취약점과 체인화되면 더 심각한 권한 상승/RCE 시나리오로 이어질 수 있음

4. PoC

해당 CVE에 대한 PoC 중 소스코드에 대한 정보는 제공하지 검증 과정에 대한 내용을 첨부
https://github.com/kiwi865/CVEs/blob/main/CVE-2025-63531.md

5. 유사 사례 비교

  • CVE-2021-44095 (ProjectWolds Hospital Management System v1.0)
    로그인 페이지에서 SQL Injection을 통해 인증 우회 및 데이터베이스 완전 침해 가능. CWE-89 기반. CVSS 9.8 (Critical)로 평가됨
  • CVE-2021-41433 (Resumes Management and Job Application Website v1.0)
    로그인 폼의 SQLi → 인증 우회 및 DB 접근 허용. CWE-89 기반, CVSS 9.8 (Critical)로 평가됨

위 두 사례 모두 “로그인 폼 + SQLi → 인증 우회 / DB 침해” 패턴으로 CVE-2025-63531과 구조 및 영향이 매우 유사 과거 사례에서 볼 수 있듯 이러한 취약점은 실제 운영 환경에서 즉시 민감 정보 유출, 권한 탈취, 시스템 침해로 이어질 가능성이 높음

참고문헌

  • NVD — CVE-2025-63531 상세 정보 기록 (공개일 2025-12-01) NVD Opencve
  • CVE Details — 취약점 요약, CVSS 점수 등 CVE Details
  • dbugs (Positive Technologies) — 취약점 설명, CWE 연결 등 dbugs.ptsecurity.com
  • Tenable 취약점 요약 페이지 Tenable
  • 블로그 게시글: Urgent: Critical SQL Injection Flaw Threatens Blood Bank Management System (기술 개요) Gowri Shankar Infosec