技术摘要

CVE-2023-53982 是一个影响 Sigb PMB 7.4.6 版本的关键 SQL 注入漏洞。该漏洞位于 ajax.php 端点的 storage 参数中，其中 id 参数在用于 SQL 查询之前未经过适当的清理。这种对特殊元素的不当中和使得远程攻击者无需认证或用户交互即可注入任意 SQL 命令。攻击者可以通过注入条件性的休眠（sleep）语句来利用此缺陷，促进基于时间的盲SQL注入攻击，从而从后端数据库推断敏感信息。该漏洞通过允许未经授权的数据提取和潜在修改，影响了数据的机密性和完整性。其CVSS 4.0评分为9.3，反映了其关键性质，具备网络攻击向量、低攻击复杂度、无需特权或用户交互，以及对机密性和完整性的高影响。尽管目前没有已知的公开利用程序，但该漏洞的特性使其具有高度可被利用性。受影响的Sigb PMB产品是一个在欧洲学术和公共图书馆广泛使用的图书馆管理系统，这增加了依赖该软件管理书目数据和用户信息的组织的风险。

潜在影响

CVE-2023-53982 的主要影响是损害 Sigb PMB 数据库中所存储数据的机密性和完整性。利用此漏洞可导致未经授权地泄露敏感信息，例如用户记录、书目数据以及可能的管理员凭证。这可能导致隐私侵犯、数据泄露和信任丧失。此外，攻击者可能操纵或破坏数据，影响图书馆服务的可用性和可靠性。对于欧洲组织，尤其是严重依赖PMB进行编目和用户管理的公共和学术图书馆，由于潜在的个人数据暴露，此漏洞构成了运营中断和违反GDPR规定的重大风险。缺乏所需的认证和易于利用的特性提高了威胁级别，使其成为管理大量敏感数据的机构的一个关键关注点。

缓解建议

为缓解 CVE-2023-53982，组织应在供应商提供补丁后立即将 Sigb PMB 升级到已修复的版本。在没有官方补丁的情况下，应实施专门设计用于检测和阻止针对 ajax.php 端点和 id 参数的SQL注入模式的Web应用防火墙（WAF）规则。对所有用户提供的输入，特别是 id 参数，进行彻底的输入验证和清理，以中和特殊的SQL字符。在可行的情况下，通过将PMB应用程序置于安全的VPN或内部网络之后来限制其直接互联网访问。启用数据库级别的保护措施，例如为PMB数据库用户配置最小权限访问，以限制成功注入可能造成的损害。定期监控应用程序日志，查找可疑的查询模式或表明基于时间的SQL注入尝试的异常响应时间。最后，对管理员进行安全意识培训，以识别并及时响应利用企图。

受影响国家

法国、德国、英国、意大利、西班牙、荷兰、比利时

来源与发布时间

• 来源： CVE Database V5
• 发布日期： 2025年12月23日，星期二

技术细节

• 数据版本： 5.2
• 分配者短名称： VulnCheck
• 预留日期： 2025-12-20T16:31:20.900Z
• CVSS 版本： 4.0
• 状态： 已发布
• 威胁ID： 694af0d43b03476441e1a525
• 添加到数据库： 2025年12月23日，下午7:43:16
• 上次丰富： 2025年12月23日，下午7:58:06
• 上次更新： 2025年12月24日，上午3:55:53