销售与库存系统SQL注入漏洞(CVE-2026-3790)
一、漏洞信息
1.漏洞类型:SQL注入
2.影响产品及版本:SourceCodeStter 销售与库存系统 1.0(存在版本标识异常,疑似为1.0或未明确版本号)
3.攻击场景:攻击者可通过构造恶意的 stockname1 参数值,向 check_supplier_details.php 接口发送特制请求,利用未过滤的用户输入触发SQL注入漏洞,实现对后端数据库的非法访问或操控。
4.在野利用情况:已发现公开的漏洞利用代码(POC),并被发布至GitHub等平台,存在被广泛传播和实际利用的风险。尽管当前情报未明确指出“在野”攻击事件,但POC的公开发布表明漏洞具备实际可利用性。
5.威胁团伙:暂无直接关联已知威胁组织的证据,但该漏洞出现在开源安全社区(如GitHub)的PoC集合中,可能被自动化扫描工具或低门槛攻击者用于批量探测与攻击。
二、安全活动事件分析
事件一:2026年3月9日,安全研究人员在GitHub公开发布针对“SourceCodeStter销售与库存系统”的SQL注入漏洞利用代码(POC),用于测试 check_supplier_details.php 接口中的 stockname1 参数是否存在SQL注入风险。
事件二:2026年3月9日,VulDB平台收录该漏洞(ID: 349757),并标记其为“已公开POC”状态,表明该漏洞已进入公开披露阶段,可能被用于恶意目的。
三、技术分析
分析:该漏洞属于典型的输入验证缺失型SQL注入,攻击者可远程操纵 stockname1 参数,绕过系统安全检查,读取敏感数据(如用户凭证、库存信息)、篡改数据库内容,甚至在高权限条件下执行系统命令。由于漏洞存在于核心业务接口且无需认证,风险等级较高。尽管CVSS 3.1评分为6.3(中危),但其无需用户交互、远程可利用、且POC已公开,实际攻击面极广,应视为高风险。
四、建议措施:
立即对所有运行 SourceCodeStter 销售与库存系统 1.0 的实例进行排查,确认是否存在 check_supplier_details.php 接口暴露于公网。
对 stockname1 参数实施严格的输入过滤与参数化查询(Prepared Statements),禁止直接拼接SQL语句。
部署WAF规则,针对 check_supplier_details.php 接口添加SQL注入特征检测规则,拦截包含 ' OR 1=1--、UNION SELECT 等常见注入模式的请求。
若无法及时修复,建议通过防火墙策略限制该接口访问来源,仅允许可信IP访问。
建议厂商尽快发布补丁,并在系统中启用日志审计功能,监控异常数据库查询行为。
五、结论概述
综合分析开源情报与漏洞技术特征,该漏洞为远程可利用的SQL注入漏洞,已存在公开的利用代码(POC),且被多个安全平台收录,具备较高的现实攻击风险。尽管当前未发现明确的“在野”攻击案例,但其公开性与可利用性已构成严重威胁。建议相关系统管理员立即采取缓解措施,优先修复或隔离受影响接口,防止数据泄露与系统沦陷。