CVE-2019-25713MyT-PM 1.5.1版本存在SQL注入漏洞。由于Charge[group_total]参数缺乏适当过滤,经过身份验证的攻击者可通过向/charge/admin端点发送恶意POST请求,利用基于错误或盲注的方式执行任意SQL语句。该漏洞可能导致敏感数据库信息泄露或数据被篡改,对系统安全性构成严重威胁。
该漏洞发生于MyT-PM 1.5.1版本的/charge/admin接口,核心问题在于应用程序未能对用户提交的Charge[group_total]参数进行有效的输入验证和特殊字符过滤,导致该参数直接被拼接到后端SQL查询语句中,从而产生SQL注入点。攻击者首先需要具备一个有效的低权限账户(PR:L)进行身份认证。在获取会话后,攻击者可以构造恶意的HTTP POST请求,向上述接口发送包含SQL元字符的Payload。具体的利用方式多样,包括基于错误的注入,通过触发数据库语法错误使服务器返回包含敏感信息的错误页面;基于时间的盲注,利用如SLEEP()函数根据响应延迟推断数据内容;以及堆叠查询,允许在一次请求中执行多条SQL命令。由于漏洞利用无需用户交互(UI:N),攻击过程较为隐蔽。成功利用该漏洞后,攻击者可读取高敏感度数据(C:H)或对数据进行有限度的篡改(I:L),从而完全控制数据库内容。