漏洞标题:Invision Community <= 4.7.20 (calendar/view.php) - SQL注入
Google搜索关键词:N/A
日期:2025年7月23日
漏洞作者:Egidio Romano
LinkedIn:N/A
厂商主页:https://invisioncommunity.com
软件链接:https://invisioncommunity.com
受影响版本:4.7.21之前的某些4.x版本
测试环境:Invision Community <= 4.7.20
CVE编号:CVE-2025-48932
漏洞描述
该漏洞位于/applications/calendar/modules/front/calendar/view.php脚本中。具体来说,在IPS\calendar\modules\front\calendar\view::search()方法中,通过location请求参数传递的用户输入在用于构建SQL查询之前未经过适当的清理。远程未认证攻击者可利用此漏洞,例如通过基于布尔的SQL注入攻击从数据库中读取敏感数据。成功利用此漏洞需要安装"calendar"应用程序并配置"地理位置功能"(如Google Maps)。
注意: Invision Community 4.x中的SQL注入漏洞可能导致管理员账户接管和RCE攻击,通过重置管理员密码。然而,从4.7.18版本开始,密码重置机制中引入了新的安全加密密钥。因此,这种攻击向量在版本>=4.7.18中将不再有效。
概念验证
https://karmainsecurity.com/pocs/CVE-2025-48932.php
解决方案
升级到4.7.21或更高版本。
披露时间线
- [2025年5月16日] - 通知厂商
- [2025年5月27日] - 发布4.7.21版本
- [2025年5月28日] - 请求CVE标识符
- [2025年5月28日] - 分配CVE标识符
- [2025年7月23日] - 公开披露
CVE参考
通用漏洞与暴露项目(cve.org)已将此漏洞命名为CVE-2025-48932。
致谢
漏洞由Egidio Romano发现。