关键信息摘要 漏洞概述 名称: SQL Injection in API ORDER BY Clause CVE ID: CVE-2026-25513 严重性: High (8.3/10) CVSS v4.0: AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N 影响范围 受影响版本: <= 2025.71 修复版本: None 漏洞描述 问题: FacutaraScripts REST API在 参数中存在SQL注入漏洞,允许验证过的API用户执行任意SQL查询。 原因: 方法中,用户提供的排序参数直接拼接到SQL ORDER BY子句,未进行验证或清理。 漏洞代码位置 1. Legacy Models - 文件: - 方法: 2. Modern Models (DbQuery) - 文件: - 方法: - 代码: 直接拼接 数组的键和值,未做验证。 漏洞利用 概念验证 (PoC) - 前提:有效的API认证令牌,访问API端点的权限。 - 步骤: 1. 获取API密钥并通过CLI验证SQL注入。 2. 自动化工具。脚本自动登录FacturaScripts,提取API密钥,使用时间盲SQL注入进行区分的数据提取。 自动化工具: Python脚本,登录、获取密钥、验证漏洞。 影响 数据保密性: 完整数据库泄露,包括用户凭证、API密钥、金融数据、商业信息和系统配置等。 影响对象: 使用API的组织、移动应用、API用户、企业合作伙伴。 修复建议 立即修补 1. 严格白名单验证推荐。 2. 使用数据库转义函数。 3. 使用查询构建模式。 报告人 发现人: Łukasz Rybak