关键信息 漏洞摘要 漏洞类型: 认证后的盲注SQL注入 影响版本: < 1.30.2 修复版本: 1.30.2 描述: 在GetOrphaned Recipient Listing接口中存在经过身份验证的SQL注入漏洞,用户控制的排序值直接放入ORDER BY子句,没有白名单验证。 CVSS v3 基本评分 严重性: 中等 (6.5/10) 攻击载体: 网络 攻击复杂性: 低 所需权限: 低 用户交互: 无 影响范围: 无变化 保密性影响: 高 完整性影响: 无 可用性影响: 无 漏洞详情 在< 1.30.2版本中,GetOrphaned构建如下原始SQL: 该OrderBy值来源于用户控制的sortBy查询参数。 漏洞由两个条件导致: 1. RemapOrderBy()静默通过未知键, 未验证就传递; 2. GetOrphaned未验证ORDER BY输入; 影响 作为认证用户是超级管理员,此漏洞影响从API Weird不到的用户密码哈希、TOTP秘钥或其他SQLite信息。 修复措施 在v1.30.2版本中,通过验证OrderBy列与明确白名单及清除RemapOrderBy()中的未知值修复。 证据(PoC) 认证用户会话,且数据库中有至少两个孤立的接收者记录,演示了对ORDER BY子句的控制。 信用 漏洞由Rayn Light披露并协助修复。