CVE-2023-49665 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入 (SQLi)。 💥 **后果**：攻击者可非法读取、篡改或删除数据库内容，导致严重数据泄露。

🔍 **CWE**：CWE-89 (SQL注入)。 📍 **缺陷点**：`submit_delivery_list.php` 页面中的 `quantity[]` 参数未过滤直接入库。

🏢 **厂商**：Kashipara Group。 📦 **产品**：Billing Software。 ⚠️ **版本**：v1.0。

👮 **权限**：无需认证 (PR:N)。 📊 **数据**：高机密性/完整性/可用性影响 (C:H/I:H/A:H)。 🔓 **能力**：完全控制数据库数据。

🚪 **门槛**：极低。 🌐 **网络**：网络可访问 (AV:N)。 🔑 **认证**：无需权限 (PR:N)。 👀 **交互**：无需用户交互 (UI:N)。

📜 **Exp**：数据中未提供现成 PoC。 🌍 **在野**：暂无公开在野利用记录。 🔗 **参考**：见 Fluid Attacks 第三方建议。

🔎 **特征**：检测 `submit_delivery_list.php` 接口。 🧪 **测试**：向 `quantity[]` 参数注入 SQL 语句，观察数据库响应错误。

🛠️ **补丁**：数据未提及官方具体补丁版本。 📅 **时间**：2024-01-04 公布。 👉 **建议**：联系厂商或检查更新日志。

🛡️ **规避**：对 `quantity[]` 参数实施严格的输入验证。 🚫 **过滤**：禁用特殊字符，使用预编译语句 (Prepared Statements)。 🔒 **WAF**：配置规则拦截 SQL 注入载荷。

🔥 **优先级**：极高 (CVSS 10.0)。 ⚡ **紧急**：远程无认证即可利用，危害极大。 🚀 **行动**：立即修复或实施临时缓解措施。