CVE-2026-9781CVE-2026-9781是Quest NetVault Backup备份软件中存在的一个高危安全漏洞,CVSS评分为8.8分。该漏洞由Trend Micro的零日计划(ZDI)团队发现并报告,编号为ZDI-CAN-27648,对应ZDI公告ZDI-26-370。漏洞于2026年6月25日正式披露。
Quest NetVault Backup是Quest Software公司开发的一款企业级数据备份与恢复解决方案,广泛应用于各种规模的组织中,用于保护关键业务数据。该漏洞存在于NetVault Backup的NVBURASDevice组件中,该组件负责处理JSON-RPC消息。当服务器处理这些消息时,由于对用户提供的字符串缺乏充分的验证,直接将其用于构造SQL查询,导致SQL注入漏洞的产生。
虽然该漏洞的利用需要认证(PR:L),但研究人员指出,现有的认证机制可以被绕过,这大大降低了攻击者的利用门槛。成功利用该漏洞的攻击者可以在NETWORK SERVICE上下文中执行任意代码,完全控制受影响的系统。由于NetVault Backup通常部署在企业环境中,存储着大量关键备份数据,该漏洞可能造成数据泄露、数据篡改以及服务中断等严重后果,对企业数据安全构成重大威胁。
该漏洞的核心问题在于Quest NetVault Backup的NVBURASDevice组件在处理JSON-RPC消息时,未对用户输入的字符串进行充分的验证和清理,就直接将其拼接到SQL查询语句中,形成了典型的SQL注入漏洞。
从技术层面分析,NVBURASDevice组件通过JSON-RPC协议接收客户端请求,解析其中的参数。由于缺乏参数化查询或输入过滤机制,攻击者可以在JSON-RPC消息的特定字段中注入恶意SQL语句。当服务器执行这些查询时,注入的SQL代码将在数据库上下文中被执行。
尽管该漏洞要求认证(PR:L),但ZDI指出现有的认证机制可以被绕过,这意味着未授权的攻击者也可能利用此漏洞。攻击者通过SQL注入可以实现多种攻击行为,包括但不限于:提取数据库中的敏感信息(如用户凭证、备份元数据等)、修改或删除数据库内容,以及通过数据库特性(如xp_cmdshell、UDF等)执行操作系统命令,最终实现远程代码执行。
成功利用后,攻击者将以NETWORK SERVICE权限执行代码,该权限虽然不是最高管理员权限,但在Windows环境中已经足以访问网络资源、读取敏感文件,并有可能通过权限提升进一步控制系统。攻击者可以利用此权限访问备份数据、篡改备份内容或植入后门程序,对企业数据安全造成持久性威胁。