CVE-2021-47711CVE-2021-47711是Kentico Xperience中的一个高危SQL注入漏洞,CVSS评分达到8.8。该漏洞存在于在线营销宏方法参数处理中,允许经过认证的编辑者通过构造恶意SQL查询来利用此漏洞。攻击者可以利用此漏洞进行未授权的数据库访问,可能导致敏感数据泄露、数据篡改或系统完全沦陷。由于该漏洞需要认证才能利用,降低了被大规模利用的风险,但仍对内部威胁构成严重威胁。建议受影响的用户尽快应用官方发布的安全补丁。
该漏洞的根本原因在于Kentico Xperience对在线营销宏方法参数缺乏充分的输入验证。系统直接将这些参数用于SQL查询构造,而没有进行适当的参数化处理或转义。攻击者可以通过在宏方法参数中注入SQL语句片段,如使用UNION SELECT或条件判断语句,来绕过验证并执行任意SQL命令。