UNKNOWNCVE-2026-35168
CVE-2026-35168:OpenSTAManager SQL注入漏洞(≤2.10.2)
平台
php
组件
openstamanager
已修复版本
2.10.2
CVE-2026-35168是OpenSTAManager技术援助和发票管理软件中的一个SQL注入漏洞。Aggiornamenti (Updates)模块中的数据库冲突解决功能接受一个SQL语句的JSON数组,并通过POST直接针对数据库执行它们,而没有任何验证、白名单或清理。经过身份验证的攻击者可以执行任意SQL语句,包括CREATE、DROP、ALTER、INSERT、UPDATE、DELETE等。受影响的版本包括2.10.2之前的版本。此问题已在2.10.2版本中得到修复。
修复方法
暂无官方补丁。请查找临时解决方案或持续关注更新。
常见问题
CVE-2026-35168是什么?
CVE-2026-35168是OpenSTAManager中的一个SQL注入漏洞,允许攻击者执行任意SQL语句。
我是否受到CVE-2026-35168的影响?
如果您的OpenSTAManager版本低于或等于2.10.2,并且您有权访问Aggiornamenti模块,则您可能受到此漏洞的影响。
如何修复CVE-2026-35168?
将OpenSTAManager升级到2.10.2或更高版本以修复此漏洞。