CVE-2026-0843: jiujiujia jjjfood 中的 SQL 注入漏洞

严重性：中等 类型：漏洞 CVE 编号：CVE-2026-0843

在 jiujiujia/victor123/wxw850227 的 jjjfood 和 jjjshop_food 软件中（版本截止至20260103）发现了一个漏洞。此漏洞影响了文件 /index.php/api/product.category/index 中的未知代码。对参数 latitude 的操纵会导致 SQL 注入。攻击可以远程发起。漏洞利用方法已公开披露，并可能被使用。该产品以多个不同的名称分发。供应商很早就被联系告知此披露，但未做出任何回应。

技术总结

CVE-2026-0843 标识了 jiujiujia jjjfood 和 jjjshop_food 软件产品中的一个 SQL 注入漏洞，具体存在于 /index.php/api/product.category/index 端点。该漏洞源于对 latitude 参数的不当净化，该参数直接用于 SQL 查询，使得攻击者能够远程注入恶意 SQL 代码。这种注入可导致对后端数据库中数据的未授权访问、修改或删除。该漏洞无需身份验证或用户交互，从而增加了其风险状况。供应商已提前获知但未发布任何补丁或公告，使得该漏洞未得到缓解。

CVSS 4.0 向量指示了网络攻击向量 (AV:N)、低攻击复杂度 (AC:L)、无需权限 (PR:L)、无需用户交互 (UI:N)，以及对机密性、完整性和可用性的低影响 (VC:L, VI:L, VA:L)。尽管目前尚无已知的在野利用，但公开披露增加了被利用的风险。该产品以多个名称分发，使检测和缓解工作复杂化。此漏洞可被用来提取敏感数据或破坏受影响部署中的服务可用性。

潜在影响

对于使用 jjjfood 或 jjjshop_food 的欧洲组织，利用此 SQL 注入漏洞可能导致对敏感业务或客户数据的未授权访问，破坏机密性和完整性。攻击者可能操纵或删除关键的产品类别信息，影响业务运营和数据可靠性。攻击的远程性和无需认证的特性扩大了威胁面，如果该软件部署在关键基础设施或供应链系统中，可能允许广泛的利用。数据泄露可能导致根据 GDPR 的监管处罚、声誉损害和运营中断。供应商缺乏响应和补丁加剧了风险，因为组织必须依赖自身的缓解措施。鉴于该产品以多个名称分发，组织可能未意识到自身面临的风险，使风险管理复杂化。中等严重性评级反映了中等影响但易于利用，使得及时缓解对于防止事态升级至关重要。

缓解建议

组织应立即审计其环境，以识别任何 jjjfood、jjjshop_food 或相关变体的部署。 对 latitude 参数以及与 SQL 查询交互的任何其他用户提供的输入实施严格的输入验证和净化。 重构受影响代码，使用参数化查询或预编译语句以消除 SQL 注入向量。 部署具有自定义规则的 Web 应用程序防火墙 (WAF)，以检测和阻止针对易受攻击端点的可疑 SQL 注入模式。 监控数据库日志和应用程序日志，查找表明注入尝试的异常查询模式。 限制数据库用户权限至最小必要范围，以限制利用可能造成的损害。 如果可能，将受影响的服务隔离在网络分段之后以减少暴露面。 维护所有软件组件的清单，以确保对未来供应商补丁或公告的快速响应。 对开发和安全团队进行有关安全编码实践的教育，以防止类似漏洞。

受影响国家

德国、法国、英国、意大利、西班牙、荷兰