CVE-2024-58290: CWE-89: Elements Xhibiter NFT市场SQL命令中特殊元素的不当中和（SQL注入）

严重性： 严重 类型： 漏洞 CVE： CVE-2024-58290

Xhibiter NFT Marketplace 1.10.2 版本在 collections 端点存在一个SQL注入漏洞，攻击者可通过 id 参数操纵数据库查询。攻击者可以利用布尔型、时间型和UNION型SQL注入技术，通过向 collections 页面发送精心构造的载荷，潜在地提取或操纵数据库信息。

技术总结

CVE-2024-58290 是在 Elements Xhibiter NFT Marketplace 1.10.2 版本中发现的一个严重SQL注入漏洞。该漏洞存在于 collections 端点，id 参数未得到适当的清理，使得攻击者能够注入恶意的SQL命令。利用技术包括布尔型、时间型和UNION型SQL注入方法，使攻击者能够操纵后端数据库查询。这可能导致未经授权的数据泄露、修改或删除市场数据库中存储的敏感信息。该漏洞无需身份验证或用户交互，使得其可通过网络被远程高度利用。CVSS 4.0 评分为 9.3 分，反映了此缺陷的严重性，突显了其对机密性和完整性造成高度影响的潜力。尽管目前尚未有公开的利用报告，但NFT市场在处理有价值的数字资产和用户数据方面的角色，增加了此目标对攻击者的吸引力。在披露时缺乏可用补丁，因此需要立即采取防御措施，例如输入验证、使用预处理语句以及监控可疑的数据库活动。鉴于NFT平台在欧洲的日益普及，此漏洞对运营或集成Xhibiter市场或类似平台的组织构成了重大风险。

潜在影响

利用此SQL注入漏洞可能对使用 Xhibiter NFT 市场的欧洲组织造成严重后果。攻击者可以提取敏感用户数据，包括个人信息和交易记录，导致违反GDPR的隐私侵犯和不合规。数据操纵可能导致欺诈性交易、数字资产损失或市场运营中断，损害商业声誉和客户信任。无需身份验证即可执行任意SQL命令的能力，增加了大规模数据泄露和在受影响网络内横向移动的风险。由于NFT被盗或市场列表被操纵，财务损失可能非常巨大。此外，受攻击的系统可能被用来对合作伙伴或客户发动进一步攻击。在欧州NFT和区块链生态系统中，此漏洞的严重性和易于利用性使其成为事件响应和风险缓解的高度优先事项。

缓解建议

1. 立即应用Elements为Xhibiter NFT Marketplace提供的任何可用补丁或更新是最有效的缓解措施。
2. 如果补丁不可用，对 id 参数和任何其他用户提供的输入实施严格的输入验证，确保仅接受预期的数据类型和格式。
3. 在所有数据库交互中使用参数化查询或预处理语句，以防止恶意SQL代码注入。
4. 部署配置为检测并阻止针对collections端点的SQL注入模式的Web应用防火墙（WAF）。
5. 进行彻底的代码审查和安全测试，重点关注所有市场端点中的注入漏洞。
6. 监控数据库日志和应用程序行为，查找指示时间型SQL注入尝试的异常查询模式或延迟。
7. 限制数据库用户权限至最低必要范围，以限制任何成功注入的影响。
8. 对开发和运维团队进行安全编码实践以及与SQL注入相关风险的教育。
9. 考虑进行网络分段，将关键后端系统与直接互联网暴露隔离。
10. 制定专门针对此漏洞可能导致的数据泄露的事件响应计划。

受影响国家

德国、英国、荷兰、法国、瑞典

来源： CVE Database V5 发布日期： 2025年12月11日，星期四