漏洞概述
Digital Crime Report Management System 1.0 存在一个严重的 SQL 注入漏洞,影响多个登录页面。未经身份验证的攻击者可通过向 police、incharge、user 和 HQ 登录接口的 email 与 password 参数发送特制的 SQL 注入载荷,绕过身份认证机制。
漏洞详情
- CVE 编号:CVE-2021-47846
- 漏洞类型:CWE-89(SQL 注入)
- CVSS 评分:CVSS v3.1 基础评分为 8.2(HIGH),CVSS v4.0 基础评分为 8.8(HIGH)
- 影响版本:Digital Crime Report Management System 1.0
影响范围
该漏洞影响 Digital Crime Report Management System 1.0 版本中所有包含登录功能的模块,包括 police、incharge、user 和 HQ 登录端点。
风险分析
由于漏洞存在于身份认证环节且无需用户交互,攻击者可远程利用该 SQL 注入漏洞绕过登录验证,非法获取系统访问权限。此外,高保密性影响表明攻击者可能读取敏感数据(如用户凭证、案件信息等),而完整性影响较低意味着对数据篡改能力有限。
修复建议
- 目前暂无官方补丁发布,建议用户停止使用该系统或限制其对外暴露。
- 若必须使用,应部署 Web 应用防火墙(WAF)规则以拦截可疑 SQL 注入请求,并对所有用户输入进行严格过滤与参数化查询处理。
