🔴 《严重安全漏洞:CVE-2026-2397》

CVSS 评分: 严重(9.8)  状态: Deferred  发布时间: 2026-07-10


漏洞简介

CVE-2026-2397 是一个存在于 Adam Retail Automation Ltd. 公司开发的 MobilMen 20T 产品中的安全漏洞。该漏洞属于 SQL 注入(SQL Injection) 类型,对应 CWE 分类为 CWE-89(SQL命令中特殊元素的不当中和)。

具体而言,该漏洞是由于软件在构建 SQL 命令时,未能正确过滤或转义用户输入中的特殊字符,导致攻击者可以通过向应用程序发送恶意构造的输入,从而操纵后台数据库查询语句。这种缺陷使得攻击者能够绕过应用程序的正常逻辑,执行任意 SQL 命令。

影响范围

  • 受影响产品:MobilMen 20T
  • 受影响版本:从 v3 版本起,至 10072026 版本(含)均受影响。
  • 备注:厂商在漏洞披露前已被联系,但未作出任何回应。

风险分析

根据 CVSS 3.1 评分向量 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H,该漏洞具有以下风险特征:

  • 攻击途径(AV:N):攻击者可通过网络远程发起攻击,无需物理接触目标系统。
  • 攻击复杂度(AC:L):攻击难度低,无需特殊条件或复杂操作。
  • 权限要求(PR:N):攻击者无需任何身份验证或用户权限即可利用漏洞。
  • 用户交互(UI:N):攻击过程无需受害者进行任何点击或操作。
  • 影响范围(S:U):漏洞仅影响受攻击的组件本身,不波及其他系统。
  • 机密性(C:H):攻击者可以读取数据库中的敏感数据,包括用户凭证、业务记录等。
  • 完整性(I:H):攻击者可以修改或删除数据库中的任意数据。
  • 可用性(A:H):攻击者可能通过破坏数据库或执行资源消耗型查询导致服务中断。

可能的攻击后果

  • 攻击者能够完全控制后端数据库,窃取、篡改或删除所有存储的数据。
  • 可进一步利用数据库权限执行操作系统命令,甚至获取服务器控制权。
  • 由于无需认证且可远程利用,该漏洞极易被自动化扫描工具发现并批量攻击,对部署了 MobilMen 20T 的零售自动化系统构成严重威胁。

🔍 技术细节

字段
CVE ID CVE-2026-2397
CVSS 评分 9.8 🔴
严重程度 严重
CVSS 向量 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE 分类 CWE-89
发布时间 2026-07-10
最后更新 2026-07-10
状态 Deferred
数据来源 iletisim@usom.gov.tr

🔗 参考链接