CVE-2023-50743 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入漏洞 (SQLi)。 📉 **后果**：攻击者可绕过逻辑，直接操作后端数据库，导致**数据泄露**或**系统被控**。

🛡️ **CWE-89**：SQL注入。 🔍 **缺陷点**：`registration.php` 页面的 `dd` 参数。**未过滤**直接送入数据库处理。

🏢 **厂商**：Kashipara Group。 📦 **产品**：Online Notice Board System。 ⚠️ **版本**：v1.0。

🔓 **权限**：数据库权限。 💾 **数据**：高机密性/完整性/可用性损失 (CVSS C:H/I:H/A:H)。 👉 可读取、修改、删除所有数据库内容。

🚪 **门槛低**。 🔑 **认证**：无需认证 (PR:N)。 🌐 **网络**：网络可访问 (AV:N)。 👀 **交互**：无需用户交互 (UI:N)。

📄 **PoC**：数据中 `pocs` 字段为空，暂无公开现成Exploit。 🌍 **在野**：无明确在野利用报告。

🔍 **自查特征**：检查 `registration.php` 文件。 🔎 **扫描点**：针对 `dd` 参数注入测试。 🛠️ **工具**：SQLMap 等自动化扫描工具可快速识别。

🔧 **补丁**：数据未提供官方补丁链接。 📢 **参考**：仅列出厂商官网和第三方咨询链接，需联系厂商确认修复方案。

🚫 **临时规避**： 1. **WAF防护**：拦截包含SQL关键字的请求。 2. **输入验证**：在代码层对 `dd` 参数进行严格过滤或预编译处理。 3. **最小权限**：限制数据库账户权限。

🔥 **优先级：高**。 ⚡ **理由**：CVSS评分极高 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)，**无需认证**且**利用简单**，风险极大，建议立即修复。