qdPM 9.1 通过 filter_by 参数存在 SQL 注入 (SQL Injection)

CVE-2018-25208 影响 qdPM，使用户面临 SQL 注入的重大风险。此漏洞允许未经身份验证的攻击者从数据库中提取敏感信息。攻击向量侧重于 timeReport 端点中的 filterby[CommentCreatedFrom] 和 filterby[CommentCreatedTo] 参数。攻击者可以通过向这些参数注入 SQL 代码，提交恶意 POST 请求，从而执行任意 SQL 查询并访问机密数据。由于无需身份验证即可利用此漏洞，因此它特别危险，因为任何拥有网络访问权限的人都可能破坏数据库。CVSS 分数为 8.2 表示高风险，需要立即关注。缺少官方修复程序（fix: none）会加剧这种情况，直到实施缓解措施，用户才会保持脆弱状态。

Organizations deploying qdPM version 9.1 are at direct risk. Specifically, environments where the timeReport endpoint is exposed to the internet or accessible to untrusted users are particularly vulnerable. Shared hosting environments utilizing qdPM 9.1 should be considered high-risk due to the potential for cross-tenant exploitation.

• php / web:

grep -r "filter_by[CommentCreatedFrom]" /var/www/qdPM/timeReport.php

• generic web:

curl -X POST -d "filter_by[CommentCreatedFrom]='; DROP TABLE users; --" http://your-qdpm-server/timeReport

• generic web: Examine access logs for POST requests to /timeReport with unusual or malformed filter_by parameters. • generic web: Check response headers for SQL errors or unexpected behavior after submitting crafted requests.

1. 2026-03-26Disclosure

   disclosure

1. 已保留2026-03-26
2. 发布日期2026-03-26
3. EPSS 更新日期2026-04-02

由于 qdPM 中没有针对 CVE-2018-25208 的官方修复程序，因此缓解措施侧重于补充安全措施。严格验证和清理所有用户输入，尤其是 filterby[CommentCreatedFrom] 和 filterby[CommentCreatedTo] 参数至关重要。实施允许字符的白名单，并拒绝包含意外字符的任何输入，可以帮助防止 SQL 注入。此外，强烈建议使用参数化查询或存储过程，而不是动态构建 SQL 查询。网络分段和数据库权限限制也可以帮助降低潜在利用的影响。主动监控服务器日志以查找可疑的 SQL 注入模式对于早期检测至关重要。如果可用，请考虑升级到 qdPM 的最新版本，或寻找解决此漏洞的替代解决方案。