https://blog.qife122.com/tags/orkes-conductor/ Recent content in Orkes Conductor on 办公AI智能小助手 Hugo zh-cn qife Wed, 31 Dec 2025 10:53:51 +0800 https://blog.qife122.com/p/orkes-conductor-sql%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90cve-2025-66387%E7%9A%84%E6%8A%80%E6%9C%AF%E7%BB%86%E8%8A%82%E4%B8%8E%E5%88%A9%E7%94%A8/ Wed, 31 Dec 2025 10:53:51 +0800 https://blog.qife122.com/p/orkes-conductor-sql%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90cve-2025-66387%E7%9A%84%E6%8A%80%E6%9C%AF%E7%BB%86%E8%8A%82%E4%B8%8E%E5%88%A9%E7%94%A8/ <h1 id="levelblue-spiderlabsorkes-conductor中的sql注入漏洞cve-2025-66387">LevelBlue SpiderLabs：Orkes Conductor中的SQL注入漏洞：CVE-2025-66387</h1> <p>LevelBlue SpiderLabs 在 Orkes Conductor 平台（版本 5.2.4 | v1.19.12）中发现了一个漏洞，该漏洞允许经过身份验证的攻击者对后端 PostgreSQL 数据库执行基于时间的盲 SQL 注入攻击。 Orkes Conductor 是一个用于建模复杂的分布式微服务和人工工作流的托管工作流编排平台。该漏洞源于 <code>/api/workflow/search</code> 端点中对 &ldquo;sort&rdquo; 参数输入验证不当，使得攻击者能够将精心构造的 SQL 表达式直接注入到后端查询中。</p>