漏洞总结:SocialEngine SQL注入漏洞 漏洞概述 漏洞标题:SocialEngine <= 7.8.0 SQL Injection via activity/index/get-memberall 漏洞类型:SQL注入 (SQL Injection) 严重程度:严重 (Critical) 发布日期:2026/4/23 CVSS 4.0 向量:CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 影响范围 受影响软件:SocialEngine 受影响版本:7.8.0 及更早版本 (7.8.0 and prior) 受影响组件: 端点 攻击条件:无需身份验证 (Unauthenticated) 利用方式:攻击者可以通过 参数传递用户提供的输入,该输入在合并到 SQL 查询之前未进行清理。 修复方案 修复状态:页面未提供具体的补丁版本或修复代码。 建议措施:建议升级到修复了该漏洞的更高版本(如有),或对 端点的 参数进行严格的输入验证和清理,防止 SQL 注入。 描述详情 SocialEngine 7.8.0 及更早版本在 端点中存在 SQL 注入漏洞。攻击者可以利用此漏洞读取数据库中的任意数据、重置管理员账户密码,并未经授权访问管理面板中的 Packages Manager,从而可能实现远程代码执行。