CVE-2026-0570 CVSS 7.3 高危

CVE-2026-0570 code-projects Online Music Site 1.0 SQL注入漏洞

披露日期: 2026-01-02

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-0570

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

code-projects Online Music Site 1.0

漏洞概述

CVE-2026-0570是code-projects Online Music Site 1.0中发现的一个高危SQL注入漏洞。该漏洞存在于前端反馈功能模块中，具体位于/Frontend/Feedback.php文件的fname参数。攻击者可以通过构造恶意的SQL语句 payload 远程利用此漏洞，无需任何认证即可获取数据库敏感信息或进行进一步的攻击。由于该漏洞已被公开披露且利用代码已发布，存在被恶意利用的风险，建议尽快采取修复措施。

技术细节

该SQL注入漏洞源于应用程序对用户输入的fname参数缺乏充分的输入验证和过滤。当用户提交反馈表单时，fname参数的值被直接拼接到SQL查询语句中而未经任何安全处理，攻击者可通过在fname参数中注入SQL语句来修改原始查询逻辑。在高权限数据库账户下，这可能导致敏感数据泄露、数据库内容篡改，甚至在某些配置下实现远程代码执行。CVSS 3.1评分7.3（高危）反映出该漏洞具有网络可利用性、无需认证即可利用且影响机密性、完整性和可用性等多个维度。

攻击链分析

STEP 1

步骤1

识别目标站点使用code-projects Online Music Site 1.0

STEP 2

步骤2

访问/Frontend/Feedback.php反馈页面

STEP 3

步骤3

在fname参数中注入SQL payload

STEP 4

步骤4

获取数据库响应并提取敏感信息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
import requests

target = "http://target.com/Frontend/Feedback.php"
payload = "' OR '1'='1"
data = {"fname": payload}
response = requests.post(target, data=data)
print(response.text)

影响范围

code-projects Online Music Site 1.0

防御指南

临时缓解措施

立即对/Frontend/Feedback.php中的fname参数实施输入验证，优先采用参数化查询方式重构数据库交互代码，同时限制数据库账户权限以降低潜在危害。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-0570
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-0570
3 Details https://www.cvedetails.com/cve/CVE-2026-0570/
4 VulDB https://vuldb.com/cve/CVE-2026-0570
5 Link https://code-projects.org/
6 Link https://github.com/Limingqian123/CVE/issues/18
7 Link https://vuldb.com/?ctiid.339382
8 Link https://vuldb.com/?id.339382
9 Link https://vuldb.com/?submit.729253

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表