漏洞概述
近日,CVE 官方披露了一个影响 code-projects Online Examination System 1.0 的 SQL 注入漏洞(CVE-2026-1422)。攻击者可通过远程方式,在登录页面的 User 参数中注入恶意 SQL 语句,从而可能导致数据库信息泄露、数据篡改或服务中断等风险。该漏洞的利用代码已公开,存在被大规模利用的可能性。
漏洞详情
- CVE 编号:CVE-2026-1422
- 漏洞类型:SQL 注入(CWE-89 / CWE-74)
- CVSS 评分:CVSS v3.1 评分为 7.3(HIGH),CVSS v4.0 评分为 6.9(MEDIUM)
- 影响版本:code-projects Online Examination System 1.0
影响范围
该漏洞影响 code-projects 开发的 Online Examination System 1.0 版本,具体涉及组件为登录页面(/index.php)中的 User 参数处理逻辑。任何部署了该版本系统的实例均可能受到攻击。
风险分析
由于该漏洞可被远程利用且无需身份认证,攻击者可构造恶意请求绕过正常登录流程,直接与后端数据库交互。成功利用可能导致敏感信息(如用户凭证、考试数据)泄露、数据完整性受损,甚至在特定配置下实现进一步的权限提升或持久化控制。
修复建议
- 目前官方尚未发布明确的安全补丁,建议用户暂停使用受影响版本,并关注项目官方更新(https://code-projects.org/)。
- 临时缓解措施:对 /index.php 的 User 输入参数实施严格的输入验证与过滤;部署 Web 应用防火墙(WAF)规则以拦截 SQL 注入特征流量;限制数据库账户权限,避免使用高权限账户连接应用。
