CVE-2026-28501 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:SQL注入漏洞 (SQLi) 💥 **后果**:攻击者可绕过验证,直接操作数据库,导致数据泄露或系统被控。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-89 (SQL注入) 📍 **缺陷点**:`catName` 参数在 `objects/videos.json.php` 和 `objects/video.php` 中**清理不当**。
Q3影响谁?(版本/组件)
🎯 **受影响**:WWBN AVideo 系统 📦 **版本**:**24.0 之前**的所有版本 🛠️ **组件**:PHP 编写的视频平台建站系统。
Q4黑客能干啥?(权限/数据)
👮 **权限**:未授权访问 (PR:N) 📊 **数据**:高机密性 (C:H)、高完整性 (I:H)、高可用性 (A:H)。 💀 **能力**:读取、修改、删除数据库内容,甚至可能执行系统命令。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:**极低** 🔑 **认证**:无需认证 (PR:N) 🌐 **网络**:网络可访问即可 (AV:N) ⚡ **复杂度**:低 (AC:L)。
Q6有现成Exp吗?(PoC/在野利用)
📜 **PoC**:数据中未提供具体 PoC 文件。 🌍 **在野**:暂无在野利用报告。 🔗 **参考**:GitHub 安全公告已发布。
Q7怎么自查?(特征/扫描)
🔎 **自查特征**:检查 URL 或请求中是否包含 `catName` 参数。 📡 **扫描**:针对 `objects/videos.json.php` 和 `objects/video.php` 接口进行 SQL 注入测试。
Q8官方修了吗?(补丁/缓解)
✅ **已修复**:是 📦 **补丁版本**:**24.0** 🔗 **链接**:GitHub Releases 24.0 版本及 Commit 0c10be6。
Q9没补丁咋办?(临时规避)
🛡️ **临时规避**: 1. **升级**至 24.0 或更高版本。 2. 若无法升级,使用 **WAF** 拦截包含 SQL 关键字的 `catName` 参数。 3. 限制相关 PHP 文件的访问权限。
Q10急不急?(优先级建议)
⚠️ **优先级**:**紧急** 📈 **CVSS**:9.8 (Critical) 🏃 **行动**:立即升级或应用缓解措施,防止数据大规模泄露。