CVE-2026-29047GLPI是一款广泛使用的开源IT资产和服务管理软件。该漏洞存在于其日志导出功能中。在受影响的版本范围内(10.0.0至10.0.24-dev及11.0.0至11.0.6-dev),经过认证的高权限用户可以通过构造特定的请求参数,触发SQL注入攻击。由于缺乏足够的输入过滤,攻击者可利用此漏洞读取数据库敏感信息、修改数据甚至控制数据库服务器,严重影响系统的机密性、完整性和可用性。
该漏洞的根本原因在于GLPI的日志导出功能在构建SQL查询语句时,未能对用户提供的输入参数进行充分的类型检查或转义处理。具体来说,当拥有高权限的认证用户尝试导出系统日志时,应用程序会将用户提交的排序参数或搜索过滤条件直接拼接到SQL查询的ORDER BY或WHERE子句中。这种不安全的编码方式使得攻击者能够通过注入单引号等特殊字符破坏原本的查询结构,从而拼接恶意的SQL指令。利用此漏洞,攻击者不仅可以通过布尔盲注或时间盲注逐位提取数据库中的敏感信息(如管理员密码哈希、用户数据),还可以在特定数据库权限下执行写入操作(如INSERT、UPDATE),导致数据篡改或系统拒绝服务。由于攻击需要认证权限,这通常意味着攻击者已经获得了初步访问权限,该漏洞常被用于提权或横向移动。