漏洞概述 CVE-2026-30760: SourceBans Material Admin中的SQL注入漏洞 产品: SourceBans Material Admin 版本: < 1.1.6@a871904 环境: PHP <= 8.0 受影响组件: endpoint ChangeAdminInfos, file includes/sb-callback.php 漏洞类型: SQL注入 (CWE-89) CVE ID: CVE-2026-30760 发现日期: 2025年10月29日 报告者: ng-dst 状态: 已修复 CVSS v3.1: 8.8 (High) 向量: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 摘要: 在SourceBans Material Admin版本低于1.1.6@a871904中,存在一个SQL注入漏洞。攻击者可以通过操纵ChangeAdminInfos中的xajax处理程序中的UPDATE查询来提升权限并接管其他用户的账户。通过提交包含VK或Skype/Discord个人资料链接的恶意负载,攻击者可以修改 表中的任意列,从而实现权限提升。该端点还缺乏CSRF保护,允许攻击者链式利用CSRF和SQL注入实现一键账户接管。 影响范围 账户接管: 更改其他用户的凭证。 权限提升: 修改账户数据以授予最大权限。 数据操作: 修改或删除表中的任意用户数据。 服务拒绝: 损坏或删除管理员账户,禁用维护访问。 修复方案 更新SourceBans Material Admin: 从供应商仓库(stable-dev)更新。 临时措施: 如果无法更新,暂时禁用ChangeAdminInfos端点或手动修补。 技术细节 注入点位于 和 字段,由函数 处理,文件为 。该函数直接将用户提供的值写入UPDATE查询: 函数 使用 。在PHP 8.0中, 默认不处理引号(无ENT_QUOTES),因此输入中的单引号未被转义,导致SQL注入。 没有CSRF令牌或请求方法检查,允许攻击者链式利用SQL注入和GET CSRF绕过 并在请求中包含受害者的会话cookie,从而实现一键账户接管。 参考 GitHub Commit SB-MaterialAdmin/Web#374 GitHub Gist