支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2025-21628 基础信息
漏洞信息
                                        # Chatwoot在对话和联系人过滤器中存在盲SQL注入漏洞

## 概述
Chatwoot 的客户参与套件在版本 3.16.0 之前存在一个漏洞,该漏洞使得未经过滤的输入可以通过前端或 API 传递给 conversation 和 contact 的过滤器端点,从而允许认证用户注入任意 SQL 代码。

## 影响版本
- 3.16.0 之前的版本

## 细节
未经过滤的 `query_operator` 输入可以从前端或 API 传递到 conversation 和 contact 的过滤器端点。攻击者可以通过添加一个恒等 WHERE 子句来执行任意 SQL 查询。

## 影响
认证用户可以利用此漏洞注入任意 SQL 代码,进而执行未授权的数据库操作。此漏洞在版本 3.16.0 中已修复。
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞存在于Chatwoot的conversation和contact filters endpoints中,由于没有对前端或API传递的query_operator输入进行适当 sanitization(清理),导致任何已认证的用户可以利用这个漏洞在过滤查询中插入任意SQL,形成SQL注入攻击。这种攻击可以导致数据泄露或数据破坏等严重后果。从3.16.0版本开始,这个问题已经得到了修复。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Chatwoot has a Blind SQL-injection in Conversation and Contacts filters
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Chatwoot is a customer engagement suite. Prior to 3.16.0, conversation and contact filters endpoints did not sanitize the input of query_operator passed from the frontend or the API. This provided any actor who is authenticated, an attack vector to run arbitrary SQL within the filter query by adding a tautological WHERE clause. This issue is patched with v3.16.0.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Chatwoot SQL注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Chatwoot是Chatwoot开源的一个应用软件。客户参与套件,对讲、Zendesk、Salesforce 服务云等的开源替代方案。 Chatwoot 3.16.0之前版本存在SQL注入漏洞,该漏洞源于输入清理不当,攻击者可以通过添加重复的WHERE子句在过滤器查询中运行任意SQL。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
SQL注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-21628 的公开POC
#POC 描述源链接神龙链接
1A technical write-up explaining how improper SQL structure handling led to CVE-2025-21628 in Chatwoot.https://github.com/elahehasanpour/chatwoot-cve-2025-21628POC详情
三、漏洞 CVE-2025-21628 的情报信息
四、漏洞 CVE-2025-21628 的评论

暂无评论

发表评论