Code-Projects Online Reviewer
SQL注入漏洞(CVE-2026-2199)
一、漏洞信息
1.漏洞类型:SQL注入
2.影响产品及版本:Code-Projects Online Reviewer System 1.x(具体版本未明确,但存在已知影响范围)
3.攻击场景:攻击者可通过远程访问 /reviewer/system/system/admins/manage/users/user-delete.php 接口,向参数 ID 传递恶意构造的输入,触发后端SQL查询语句中的注入漏洞,实现对数据库的未授权访问或操控。
4.在野利用情况:漏洞利用代码已在公开渠道(GitHub Issue)发布,且存在多个漏洞信息平台(如VulDB)收录,表明该漏洞已具备实际可利用性,虽暂无明确在野攻击事件记录,但存在被广泛利用的高风险。
5.威胁团伙:暂无明确关联已知APT组织或恶意团伙,但鉴于其公开的POC及易用性,可能被低门槛攻击者(如脚本小子、自动化攻击工具使用者)用于批量扫描与入侵。
二、安全活动事件分析
事件一:2026年2月9日,Code-Projects官方平台(https://code-projects.org/)发布安全通告,确认其在线评审系统中存在SQL注入漏洞(CVE-2026-2199),并提醒用户尽快升级系统。
事件二:2026年2月9日,GitHub用户“6Justdododo6”在CVE相关Issue中公开了该漏洞的POC代码,证实漏洞可被远程利用,用于绕过身份验证、读取敏感数据(如用户凭证、系统配置)甚至执行数据库命令。
三、技术分析
分析:该漏洞属于典型的输入过滤不严导致的SQL注入,攻击者无需认证即可通过构造恶意参数(如 ID=1' OR '1'='1)绕过逻辑判断,读取或篡改数据库内容。结合CVSS 3.1评分为7.3(高危),且攻击向量为网络(AV:N)、无需用户交互(UI:N),说明其具有极高的可利用性和潜在破坏力。
四、建议措施:
立即升级系统:联系Code-Projects官方获取补丁或更新至安全版本(建议确认是否已发布修复版本)。
加强输入验证与参数化查询:对所有用户输入参数(尤其是ID类)实施严格过滤,并强制使用预编译语句(Prepared Statements)防止SQL注入。
启用WAF防护:部署Web应用防火墙(如ModSecurity、Cloudflare WAF),配置规则拦截常见SQL注入特征(如单引号、union select、sleep等)。
限制敏感接口访问权限:对 /user-delete.php 等管理接口增加身份认证与权限控制,避免未授权访问。
日志监控与审计:开启数据库及应用层日志,监控异常SQL请求行为,及时发现潜在攻击尝试。
五、结论概述
综合分析开源情报与漏洞技术特征,CVE-2026-2199为一个高危远程SQL注入漏洞,影响Code-Projects Online Reviewer System 1.x版本。尽管尚未发现大规模在野攻击事件,但其公开的POC、漏洞披露平台收录及攻击面开放,已构成严重安全威胁。建议相关系统管理员立即采取防御措施,优先升级系统或部署临时缓解策略,防止被恶意利用导致数据泄露或系统沦陷。