CVE-2023-49681 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入（SQLi）。 💥 **后果**：攻击者可绕过验证，直接操作数据库，导致数据泄露或系统被控。

🔍 **CWE**：CWE-89（SQL注入）。 📍 **缺陷点**：`Employer/InsertWalkin.php` 中的 `cmbQual` 参数未经验证，直接拼接进SQL查询。

🏢 **厂商**：Kashipara Group。 📦 **产品**：Kashipara Job Portal。 ⚠️ **版本**：v1.0。

🕵️ **权限**：无需认证（PR:N）。 📊 **数据**：高机密性（C:H）、高完整性（I:H）、高可用性（A:H）影响。可读取、修改或删除数据库内容。

🚪 **门槛**：极低。 🔑 **认证**：无需登录（PR:N）。 🌐 **网络**：网络可达即可（AV:N）。 🎯 **复杂度**：低（AC:L）。

📜 **PoC**：数据中未提供现成Exploit代码（pocs为空）。 🌍 **在野**：暂无公开在野利用报告。

🔎 **自查**：检查 `InsertWalkin.php` 文件。 🧪 **测试**：向 `cmbQual` 参数注入单引号 `'` 或 SQL 逻辑语句，观察数据库报错或响应变化。

🛠️ **补丁**：数据未提及官方已发布修复补丁。 📅 **时间**：2023-12-21 公布，建议联系厂商获取更新。

🛡️ **缓解**： 1. 对 `cmbQual` 输入进行严格的**白名单过滤**。 2. 使用**预处理语句**（Prepared Statements）替代字符串拼接。 3. 部署WAF拦截SQL注入特征。

🔥 **优先级**：极高（CVSS 9.8）。 ⚡ **建议**：立即修复，该漏洞无需认证且影响全面，极易被自动化脚本利用。