CVE-2026-31069BillaBear 2026年1月之前的所有版本在EventRepository中存在严重的SQL注入漏洞。由于系统在处理指标筛选器名称和聚合属性时,直接使用sprintf函数将用户控制输入拼接至SQL查询,且未对标识符进行安全引用或清理。尽管对筛选值进行了参数化处理,但筛选器标识符仍可被利用。拥有ROLE_ACCOUNT_MANAGER权限的认证攻击者可借此执行任意SQL命令,导致数据库信息泄露、篡改或破坏。
该漏洞源于EventRepository组件中不安全的SQL查询构建方式。开发人员虽然对筛选器的值使用了参数化查询以防止注入,但错误地直接拼接了筛选器的键名。当使用sprintf等函数将用户提供的“metric filter names”或“aggregation properties”插入SQL语句时,未经过任何转义或限制。攻击者只需具备低权限账户(ROLE_ACCOUNT_MANAGER),即可在发送请求时构造包含恶意SQL代码的标识符。后端数据库在执行这些查询时,会将恶意代码当作SQL指令执行,从而允许攻击者实现盲注、数据窃取、权限提升甚至写入WebShell等攻击。