🔴 《严重安全漏洞:CVE-2026-5801》

CVSS 评分: 严重(9.8)  状态: Deferred  发布时间: 2026-07-10


漏洞简介

CVE-2026-5801 是一个存在于 Semtek Informatics Software Consulting Trade Ltd. Co. 开发的 SEM-PMP 产品中的安全漏洞。该漏洞属于 SQL 注入(SQL injection) 类型,对应 CWE-89 分类(SQL命令中特殊元素的不当中和)。具体而言,由于软件未能正确过滤或转义用户输入中的特殊字符,攻击者可以通过构造恶意的 SQL 命令,在数据库层面执行任意命令,进而实现 命令行执行(Command Line Execution)

该漏洞的攻击向量为网络远程攻击(AV:N),攻击复杂度低(AC:L),无需任何权限(PR:N),也无需用户交互(UI:N)。漏洞影响范围涉及机密性(C:H)、完整性(I:H)和可用性(A:H),均达到最高风险等级。

影响范围

  • 受影响产品:Semtek Informatics Software Consulting Trade Ltd. Co. 的 SEM-PMP
  • 受影响版本:所有版本,直至并包括 23042026 版本(即 2026年4月23日发布的版本)

风险分析

  1. 攻击方式:攻击者可以通过向 SEM-PMP 的输入接口(如 Web 表单、API 参数等)提交特制的 SQL 语句,利用 SQL 注入漏洞绕过身份验证或直接执行数据库命令。由于该漏洞允许进一步执行操作系统级别的命令,攻击者可能通过数据库扩展功能(如 xp_cmdshell 或类似机制)在服务器上执行任意系统命令。

  2. 潜在后果

    • 数据泄露:攻击者可读取、修改或删除数据库中的敏感信息,包括用户凭证、业务数据等。
    • 服务器完全控制:通过命令行执行,攻击者可能获得服务器的操作系统级访问权限,进而安装后门、勒索软件或进行横向移动。
    • 业务中断:攻击者可以删除或篡改关键数据,导致服务不可用(可用性影响)。
    • 供应链风险:如果 SEM-PMP 被用于关键基础设施或企业核心业务,该漏洞可能引发连锁安全事件。
  3. CVSS 评分:根据 CVSS:3.1 向量,该漏洞的基础评分为 9.8(严重),属于最高风险等级。建议受影响的用户立即采取缓解措施,例如升级到修复版本(如果存在)或实施 Web 应用防火墙(WAF)规则、输入验证等临时防护手段。


🔍 技术细节

字段
CVE ID CVE-2026-5801
CVSS 评分 9.8 🔴
严重程度 严重
CVSS 向量 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE 分类 CWE-89
发布时间 2026-07-10
最后更新 2026-07-10
状态 Deferred
数据来源 iletisim@usom.gov.tr

🔗 参考链接