CVE-2026-8128该漏洞被发现在SourceCodester SUP Online Shopping 1.0版本中,是一个典型的SQL注入漏洞。受影响的文件位于/admin/viewmsg.php,具体问题源于对传入的msgid参数缺乏有效的安全过滤。攻击者无需进行用户交互或身份认证,即可利用该漏洞通过构造特定的恶意数据包,远程向服务器发送包含SQL代码的请求。由于该漏洞利用代码已公开,攻击者可能借此窃取数据库中的敏感信息,包括管理员密码和用户数据,对系统架构造成严重破坏,风险等级较高。
该漏洞的技术原理在于应用程序在处理/admin/viewmsg.php请求时,直接将用户提交的msgid参数拼接到了后端数据库查询语句中,而未采用预编译语句或严格的输入验证机制。这使得攻击者可以通过在msgid参数中插入单引号、注释符以及联合查询语句,操纵原始SQL逻辑。攻击过程通常涉及发送包含恶意Payload的HTTP请求,服务器解析后执行非预期的SQL命令。利用该漏洞,攻击者可以实施盲注攻击以提取数据库结构,或利用UNION SELECT查询获取管理员账号密码,甚至在某些数据库配置下写入WebShell,从而获取服务器最高权限,造成数据泄露或服务中断。