StylemixThemes uListing SQL注入漏洞分析(CVE-2025-25151) 教学文档

漏洞概述

• 漏洞编号: CVE-2025-25151
• 漏洞类型: SQL注入
• CVSS评分: 8.5 (高危)
• 影响组件: StylemixThemes uListing插件
• 漏洞位置: /1/api/ulisting-comment/get 接口

漏洞分析

漏洞成因

漏洞源于未对用户输入进行充分过滤，直接将$params["user_id"]参数拼接到SQL语句中执行。

漏洞代码分析

1. SQL拼接点:

   $params["user_id"] // 直接拼接到SQL语句中
   

2. 参数来源:

   • $params通过GET请求直接获取
   • 未进行任何过滤或预处理

3. API路由:

   • 基础URL: /1/api
   • 完整漏洞端点: /1/api/ulisting-comment/get

漏洞触发条件

1. 需要有效的nonce值(示例中为6c9635cd8b)
2. 需要提供comment_type参数

动态分析过程

1. 中间件验证:

   • 请求首先会经过中间件验证
   • 需要提供有效的nonce值

2. 参数检查:

   • 需要comment_type参数才能进入漏洞代码路径

3. SQL注入点:

   • user_id参数被直接拼接到SQL语句
   • 测试时注入aaaaaaa可观察到SQL语句构造过程

漏洞利用

时间盲注验证

通过时间延迟验证漏洞存在性:

1. 注入sleep(1):

   • 观察响应时间增加约2秒

2. 注入sleep(3):

   • 观察响应时间增加约6秒

3. 注入sleep(5):

   • 观察响应时间增加约10秒

典型Payload构造

1. 基本结构:

   GET /1/api/ulisting-comment/get?nonce=6c9635cd8b&comment_type=xxx&user_id=[恶意SQL]
   

2. 时间盲注示例:

   user_id=1 AND (SELECT * FROM (SELECT(SLEEP(5)))a)
   

修复建议

1. 使用预处理语句(PDO或mysqli预处理)
2. 对用户输入进行严格过滤和类型检查
3. 实施最小权限原则，限制数据库用户权限
4. 添加WAF规则拦截可疑SQL注入尝试

总结

该漏洞允许攻击者通过精心构造的user_id参数执行任意SQL命令，可能导致数据泄露、篡改或删除。由于该接口需要有效的nonce值，攻击难度有所增加，但仍属于高危漏洞。