CVE-2026-4241 CVSS 6.3 中危

CVE-2026-4241: itsourcecode College Management System 1.0 /admin/time-table.php SQL注入漏洞

披露日期: 2026-03-16

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4241

漏洞类型

SQL注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

itsourcecode College Management System 1.0

漏洞概述

CVE-2026-4241是itsourcecode College Management System 1.0中的一个中等严重性SQL注入漏洞。该漏洞存在于/admin/time-table.php文件中，攻击者可通过操纵course_code参数远程注入恶意SQL代码。由于CVSS评分为6.3且无需高权限即可利用，此漏洞对系统安全构成显著威胁。攻击成功后可能导致数据库敏感信息泄露、数据篡改或完全系统控制。

技术细节

漏洞位于/admin/time-table.php的course_code参数，攻击者可通过构造恶意SQL查询利用此漏洞。CVSS向量显示攻击复杂度低、权限需求低、无需用户交互，成功利用可导致机密性、完整性和可用性方面的低至中等影响。

攻击链分析

STEP 1

步骤1: 信息收集

识别目标系统使用itsourcecode College Management System 1.0

STEP 2

步骤2: 定位漏洞点

访问/admin/time-table.php并分析course_code参数

STEP 3

步骤3: 构造Payload

构建SQL注入payload如' OR '1'='1

STEP 4

步骤4: 发送恶意请求

通过POST请求提交构造的payload

STEP 5

步骤5: 验证与利用

确认注入成功并提取敏感数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

python
import requests

target = 'http://target.com/admin/time-table.php'
payload = "' OR '1'='1"
data = {'course_code': payload}
response = requests.post(target, data=data)
print(response.text)

影响范围

itsourcecode College Management System 1.0

防御指南

临时缓解措施

立即限制/admin/time-table.php的访问权限，实施Web应用防火墙规则阻止SQL注入特征码，并部署入侵检测系统监控异常数据库查询

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4241
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4241
3 Details https://www.cvedetails.com/cve/CVE-2026-4241/
4 VulDB https://vuldb.com/cve/CVE-2026-4241
5 Link https://github.com/ltranquility/submit/issues/1
6 Link https://itsourcecode.com/
7 Link https://vuldb.com/?ctiid.351183
8 Link https://vuldb.com/?id.351183
9 Link https://vuldb.com/?submit.771389

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表