漏洞概述 漏洞名称: SocialEngine <= 7.8.0 (get-memberall) SQL Injection Vulnerability 漏洞描述: 用户输入通过 请求参数传递到 端点时,未正确清理就被用于构建 SQL 查询。这可以被远程、未认证的攻击者利用,通过带内 SQL 注入攻击读取任意、敏感数据。此外,此漏洞可能被用来重置管理员用户的密码,并未经授权访问“Packages Manager”,以实现远程代码执行(RCE)。 影响范围 受影响版本: 7.8.0, 7.7.0 及可能更早的版本。 修复方案 当前状态: 目前没有官方解决方案。 披露时间线 2026年2月2日: 漏洞在版本 7.7.0 上确认。 2026年2月2日: 通知供应商。 2026年2月9日: 供应商回复称正在验证报告,如果确认将优先修复。 2026年2月27日: 供应商发布版本 7.8.0,但漏洞仍未修复。 2026年3月2日: 再次联系供应商。 2026年3月9日: 供应商回复称将检查并更新。 2026年3月23日: 通知供应商关于 60 天披露截止日期政策。 2026年3月25日: 供应商表示已在演示网站上修复该问题,并邀请测试。 2026年3月25日: 被告知演示网站看起来不再脆弱。 2026年4月3日: 达到 60 天披露截止日期,仍无官方解决方案。 2026年4月21日: 请求 CVE 标识符。 2026年4月22日: 分配 CVE 标识符。 2026年4月23日: 公开披露。 CVE 参考 CVE-2026-41460: 已分配给此漏洞。 贡献者 发现者: Egidio Romano