🔴 严重 | CVE-2026-2397 — Improper neutralization of special elements used i...
🔴 《严重安全漏洞:CVE-2026-2397》
CVSS 评分: 严重(9.8) 状态: Deferred 发布时间: 2026-07-10
漏洞简介
CVE-2026-2397 是一个存在于 Adam Retail Automation Ltd. 公司开发的 MobilMen 20T 产品中的安全漏洞。该漏洞属于 SQL 注入(SQL Injection) 类型,对应 CWE 分类为 CWE-89(SQL命令中特殊元素的不当中和)。
具体而言,该漏洞是由于软件在构建 SQL 命令时,未能正确过滤或转义用户输入中的特殊字符,导致攻击者可以通过向应用程序发送恶意构造的输入,从而操纵后台数据库查询语句。这种缺陷使得攻击者能够绕过应用程序的正常逻辑,执行任意 SQL 命令。
影响范围
- 受影响产品:MobilMen 20T
- 受影响版本:从 v3 版本起,至 10072026 版本(含)均受影响。
- 备注:厂商在漏洞披露前已被联系,但未作出任何回应。
风险分析
根据 CVSS 3.1 评分向量 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H,该漏洞具有以下风险特征:
- 攻击途径(AV:N):攻击者可通过网络远程发起攻击,无需物理接触目标系统。
- 攻击复杂度(AC:L):攻击难度低,无需特殊条件或复杂操作。
- 权限要求(PR:N):攻击者无需任何身份验证或用户权限即可利用漏洞。
- 用户交互(UI:N):攻击过程无需受害者进行任何点击或操作。
- 影响范围(S:U):漏洞仅影响受攻击的组件本身,不波及其他系统。
- 机密性(C:H):攻击者可以读取数据库中的敏感数据,包括用户凭证、业务记录等。
- 完整性(I:H):攻击者可以修改或删除数据库中的任意数据。
- 可用性(A:H):攻击者可能通过破坏数据库或执行资源消耗型查询导致服务中断。
可能的攻击后果:
- 攻击者能够完全控制后端数据库,窃取、篡改或删除所有存储的数据。
- 可进一步利用数据库权限执行操作系统命令,甚至获取服务器控制权。
- 由于无需认证且可远程利用,该漏洞极易被自动化扫描工具发现并批量攻击,对部署了 MobilMen 20T 的零售自动化系统构成严重威胁。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-2397 |
| CVSS 评分 | 9.8 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CWE 分类 | CWE-89 |
| 发布时间 | 2026-07-10 |
| 最后更新 | 2026-07-10 |
| 状态 | Deferred |
| 数据来源 | iletisim@usom.gov.tr |
🔗 参考链接
💬 评论