概述
该漏洞被分配了CVE编号:CVE-2026-0843。它存在于 jiujiujia/victor123/wxw850227 开发的 jjjfood 和 jjjshop_food 系统中,影响截至2026年1月3日的版本。该漏洞影响了文件 /index.php/api/product.category/index 中的未知代码。对参数 latitude 的操纵会导致SQL注入攻击。攻击可以远程发起。漏洞利用方法已被公开披露并可能被使用。该产品以多个不同的名称分发。供应商很早就被联系告知此披露,但未做出任何回应。
漏洞信息
- 发布日期: 2026年1月11日,上午9:15
- 最后修改日期: 2026年1月11日,上午9:15
- 可远程利用: 是!
- 信息来源: cna@vuldb.com
受影响的版本
此表格列出了受CVE-2026-0843漏洞影响的产品。即使cvefeed.io知道受影响产品的确切版本,相关信息也未在下表中体现。
- 目前无受影响产品记录
- 受影响供应商总数:0 | 产品总数:0
CVSS评分
通用漏洞评分系统是一个用于评估软件和系统漏洞严重程度的标准化框架。我们收集并显示每个CVE来自不同来源的CVSS分数。
| 分数 | 版本 | 严重等级 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 6.5 | CVSS 2.0 | 中危 | (AV:N/AC:L/Au:S/C:P/I:P/A:P) | 8.0 | 6.4 | cna@vuldb.com |
| 6.3 | CVSS 3.1 | 中危 | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L | 2.8 | 3.4 | cna@vuldb.com |
| 5.3 | CVSS 4.0 | 中危 | AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | cna@vuldb.com |
解决方案
通过清理输入和更新受影响组件来修复SQL注入漏洞。
- 清理所有用户提供的输入。
- 将受影响的组件更新到安全版本。
- 供应商补丁可用时立即应用。
- 审查
/api/product.category/index端点的访问控制。
相关资源链接
此处提供与CVE-2026-0843相关的深入信息、实用解决方案和有价值工具的外部链接精选列表。
| 资源 | 链接 |
|---|---|
| 漏洞细节PDF | http://101.200.76.102:38765/qwertyuiop/qwsdfvbnm/1/vuldb/JJJshop/EnglishVers%E4%B8%89%E5%8B%BE%E7%82%B9%E9%A4%90%E7%B3%BB%E7%BB%9FPHP%E7%89%88%E5%AD%98%E5%9C%A8product.category.indexSQL%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E.pdf |
| VulDB CTI 页面 | https://vuldb.com/?ctiid.340443 |
| VulDB ID 页面 | https://vuldb.com/?id.340443 |
| VulDB 提交页面 | https://vuldb.com/?submit.731001 |
CWE - 常见弱点枚举
CVE标识特定的漏洞实例,而CWE则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2026-0843与以下CWE相关联:
- CWE-74: 输出给下游组件使用的特殊元素中和不当(‘注入’)
- CWE-89: SQL命令中使用的特殊元素中和不当(‘SQL注入’)
常见攻击模式枚举与分类(CAPEC)
常见攻击模式枚举与分类存储攻击模式,这些模式描述了对手利用CVE-2026-0843弱点所采用的常见属性和方法。
- CAPEC-3: 使用前导‘幽灵’字符序列绕过输入过滤器
- CAPEC-6: 参数注入
- CAPEC-7: 盲SQL注入
- CAPEC-8: API调用中的缓冲区溢出
- CAPEC-9: 本地命令行实用程序中的缓冲区溢出
- CAPEC-10: 通过环境变量进行缓冲区溢出
- CAPEC-13: 颠覆环境变量值
- CAPEC-14: 客户端注入引发的缓冲区溢出
- CAPEC-24: 因缓冲区溢出导致的过滤器失效
- CAPEC-28: 模糊测试
- CAPEC-34: HTTP响应拆分
- CAPEC-42: MIME转换
- CAPEC-43: 利用多重输入解释层
- CAPEC-45: 通过符号链接进行缓冲区溢出
- CAPEC-46: 溢出变量和标签
- CAPEC-47: 通过参数扩展进行缓冲区溢出
- CAPEC-51: 毒化Web服务注册表
- CAPEC-52: 嵌入空字节
- CAPEC-53: 后缀、空终止和反斜杠
- CAPEC-64: 结合使用斜杠和URL编码绕过验证逻辑
- CAPEC-67: syslog()中的字符串格式溢出
- CAPEC-71: 使用Unicode编码绕过验证逻辑
- CAPEC-72: URL编码
- CAPEC-76: 操纵Web输入到文件系统调用
- CAPEC-78: 在替代编码中使用转义斜杠
- CAPEC-79: 在替代编码中使用斜杠
- CAPEC-80: 使用UTF-8编码绕过验证逻辑
- CAPEC-83: XPath注入
- CAPEC-84: XQuery注入
- CAPEC-101: 服务器端包含注入
- CAPEC-105: HTTP请求拆分
- CAPEC-108: 通过SQL注入执行命令行
- CAPEC-120: 双重编码
- CAPEC-135: 格式化字符串注入
- CAPEC-250: XML注入
- CAPEC-267: 利用替代编码
- CAPEC-273: HTTP响应走私
- CAPEC-66: SQL注入
- CAPEC-109: 对象关系映射注入
- CAPEC-110: 通过SOAP参数篡改进行SQL注入
- CAPEC-470: 从数据库扩展对操作系统的控制
GitHub上的概念验证利用
我们扫描GitHub仓库以检测新的概念验证利用。以下列表是已发布在GitHub上的公共漏洞利用和概念验证集合(按最近更新排序)。由于潜在的性能问题,结果限制在前15个仓库。
- (文章中未列出具体仓库)
相关新闻
以下列表列出了文章中任何地方提及CVE-2026-0843漏洞的新闻。由于潜在的性能问题,结果限制在前20篇新闻文章。
- (文章中未列出具体新闻)
漏洞时间线
漏洞历史记录详细信息有助于了解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。下表列出了对CVE-2026-0843漏洞随时间所做的更改。
新CVE由 cna@vuldb.com 接收 日期:2026年1月11日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 已添加 | 描述 | 在 jiujiujia/victor123/wxw850227 jjjfood 和 jjjshop_food 系统中发现一个漏洞,影响截至20260103的版本。该漏洞影响文件 /index.php/api/product.category/index 中的未知代码。对参数 latitude 的操纵会导致sql注入。攻击可以远程发起。漏洞利用方法已被公开披露并可能被使用。该产品以多个不同的名称分发。供应商很早就被联系告知此披露,但未做出任何回应。 |
|
| 已添加 | CVSS V4.0 | AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | |
| 已添加 | CVSS V3.1 | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L | |
| 已添加 | CVSS V2 | (AV:N/AC:L/Au:S/C:P/I:P/A:P) | |
| 已添加 | CWE | CWE-89 | |
| 已添加 | CWE | CWE-74 | |
| 已添加 | 参考链接 | http://101.200.76.102:38765/qwertyuiop/qwsdfvbnm/1/vuldb/JJJshop/EnglishVers%E4%B8%89%E5%8B%BE%E7%82%B9%E9%A4%90%E7%B3%BB%E7%BB%9FPHP%E7%89%88%E5%AD%98%E5%9C%A8product.category.indexSQL%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E.pdf | |
| 已添加 | 参考链接 | https://vuldb.com/?ctiid.340443 | |
| 已添加 | 参考链接 | https://vuldb.com/?id.340443 | |
| 已添加 | 参考链接 | https://vuldb.com/?submit.731001 |
漏洞评分详情
- CVSS 4.0 - 基础CVSS分数:5.3
- 攻击向量:网络
- 攻击复杂度:低
- 攻击前提:无
- 所需权限:低
- 用户交互:无
- 易变系统机密性影响:低
- 易变系统完整性影响:低
- 易变系统可用性影响:低
- 后续系统机密性影响:无
- 后续系统完整性影响:无
- 后续系统可用性影响:无
- CVSS 3.1 - 基础CVSS分数:6.3
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:低
- 用户交互:无
- 范围:未改变
- 机密性影响:低
- 完整性影响:低
- 可用性影响:低
- CVSS 2.0 - 基础CVSS分数:6.5
- 访问向量:网络
- 访问复杂度:低
- 认证:单次
- 机密性影响:部分
- 完整性影响:部分
- 可用性影响:部分