关键信息总结 漏洞概述 CVE 编号: CVE-2021-21920, CVE-2021-21921, CVE-2021-21922, CVE-2021-21923 受影响的版本: Advantech R-SeeNet 2.4.15 (30.07.2021) CVSS v3 分数: 7.7 CWE 编号: CWE-89 - SQL 注入 漏洞详情 漏洞类型: SQL 注入 影响组件: Advantech R-SeeNet 软件系统的 'user_list' 页面 攻击方式: 特殊构造的 HTTP 请求可触发漏洞 漏洞成因 问题描述: 存储过程与 SQL 结合时,变量直接拼接 SQL 语句,未使用参数绑定,导致 SQL 注入。 示例代码: 漏洞参数详情 surname_filter: 针对 参数的 SQL 注入 (CVE-2021-21920) name_filter: 针对 参数的 SQL 注入 (CVE-2021-21921) username_filter: 针对 参数的 SQL 注入 (CVE-2021-21922) company_filter: 针对 参数的 SQL 注入 (CVE-2021-21923) 时间线 2021-08-19: 漏洞披露给厂商 2021-11-16: 厂商发布补丁 2021-11-22: 公开发布报告 发现者 发现者: Yuri Kramarz of Cisco Talos