2月27日，國家信息安全漏洞共享平臺（CNVD）的漏洞列表收錄了兩個新的SQL注入漏洞——CNVD-2019-04308和CNVD-2019-05341。根據(jù)CNVD公布的信息來看，這兩個漏洞的危害級別均被評定為“高”，且為攻擊者獲取數(shù)據(jù)庫敏感信息創(chuàng)造了條件。

所謂SQL注入，就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器以執(zhí)行惡意SQL命令的目的。具體來說，它是利用現(xiàn)有應用程序，將惡意SQL命令注入到后臺數(shù)據(jù)庫引擎執(zhí)行的能力，它可以通過在Web表單中輸入惡意SQL語句得到一個存在安全漏洞的網站上的數(shù)據(jù)庫，而不是按照設計者意圖去執(zhí)行SQL語句。

從漏洞描述我們得知，這兩個漏洞分別會影響到國內兩家網絡公司的建站系統(tǒng)——濟南白菜網絡技術有限公司（一家致力于互聯(lián)網品牌建設與網絡營銷的公司）和中山市商友網絡科技有限公司（一家從事網站建設、技術外包、WAP手機網站建設、微信及小程序定制開發(fā)、系統(tǒng)UI及平面設計、PHP系統(tǒng)開發(fā)、網易企業(yè)郵箱的公司）。

“濟南白菜網絡技術有限公司建站系統(tǒng)sh***.php和ne***.php頁面存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息?！盋NVD在漏洞描述中寫道，“中山市商友網絡科技有限公司建站系統(tǒng)存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息?！?/p>

值得注意的是，CNVD表示它已確認并復現(xiàn)了其所述的情況，且已通過電子郵件向受漏洞的兩家公司進行了通報，但到目前為止這兩家公司尚沒有發(fā)布相關的解決方案或補丁。