漏洞概述 漏洞名称: Litellm ≤ 1.8.0 - Front-end SQL Injection via WxGoodsController (CVE-89, CVSS 8.8) 漏洞描述: 在 Litellm ≤ 1.8.0 的前端 WeChat API 中存在一个关键的 SQL 注入漏洞。与之前报告的 CVEs(CVE-2024-24323, CVE-2024-46382)不同,此漏洞无需管理员认证,普通用户即可通过 端点进行利用。 受影响代码: WxGoodsController.java: LitemallGoodsService.java (line 121-122): MyBatis Mapper XML: 漏洞原因: 参数直接从 HTTP 请求中拼接到 中,没有任何过滤或白名单验证。 影响范围 端点: 认证要求: 普通用户 / 无需管理员认证 API 类型: 前端 WeChat API CVSS 评分: ~8.8 (Critical) 影响: 1. 管理员凭证泄露: 普通用户可以从前端 API 提取管理员密码哈希。 2. 完整数据库提取: 所有表中的所有数据可以通过错误注入或盲注方法提取。 3. 用户数据泄露: 所有用户个人信息(姓名、地址、电话、订单历史)可以被窃取。 4. 支付数据暴露: 订单支付信息可能可访问。 修复方案 建议修复: 在 中添加 注解,使用严格的白名单验证: 修复前: 修复后: 或者实现服务器端白名单验证: POC 代码 PoC 1: 提取管理员密码哈希 (基于错误) 响应错误: PoC 2: 提取 MySQL 版本 (基于错误) 响应错误: PoC 3: 提取所有表名 (基于错误) 响应错误: PoC 4: 布尔盲注 SQL 注入 结果: 结果: PoC 5: 时间盲注 SQL 注入 响应延迟: