Orkes Conductor SQL注入漏洞（CVE-2025-66387）分析本文详细分析了在Orkes Condu

LevelBlue SpiderLabs: Orkes Conductor中的SQL注入：CVE-2025-66387

2025年12月18日

阅读时间：1分钟 作者：Tim Stamopoulos

我们的团队在Orkes Conductor平台（版本5.2.4 | v1.19.12）中发现了一个漏洞，该漏洞允许经过身份验证的攻击者对后端PostgreSQL数据库执行基于时间的盲注SQL注入攻击。

Orkes Conductor是一个用于建模复杂、分布式微服务和人工工作流的托管工作流编排平台。该漏洞源于/api/workflow/search端点中的“sort”参数输入验证不当，使得攻击者能够将精心构造的SQL表达式直接注入后端查询。

存在漏洞的端点接受用户控制的“sort”查询参数输入，该参数未经适当清理就直接嵌入后端执行的SQL语句中。虽然平台有基本的过滤机制来阻止常见攻击载荷，但研究人员成功使用基于时间的盲注技术绕过了这些检查。

以下概念验证（PoC）载荷导致服务器响应出现5秒的故意延迟，证实了存在基于时间的SQL注入漏洞： ?sort=(SELECT 1371 FROM PG_SLEEP(5))

另一个示例： ?sort=(SELECT 1 + CASE WHEN (SELECT ASCII(SUBSTRING(datname,1,1)) FROM pg_database LIMIT 1 OFFSET 0) = 112 THEN PG_SLEEP(5) ELSE 0 END)

如果数据库名称的第一个字符与指定的ASCII值（例如，112 对应字符 'p'）匹配，此载荷将触发可测量的时间延迟，从而实现逐字符的数据窃取。

此技术使得攻击者能够枚举数据库名称、表名和列元数据。

成功利用此漏洞允许远程、经过身份验证的攻击者提取内部PostgreSQL数据库的名称和内容。根据部署和数据库配置，攻击者可能获得机密应用程序数据或编排的工作流状态信息。

核心问题在于动态查询排序逻辑中未对SQL字符串构造进行清理。应用层的过滤不足以阻止逻辑注入链，并且未能使用预编译语句或查询参数化。

该漏洞已由Orkes修复，建议用户更新到最新版本，并验证和转义所有用户提供的输入，使用带有绑定变量的预编译语句。

该漏洞由Timothy Stamopoulos在一次客户参与中代表我们的团队发现。