Advantech iView SQL 注入漏洞分析：认证绕过与数据泄露

概述

CVE-2022-50594 是 Advantech iView 软件中存在的一个高危漏洞，影响 v5.7.04 Build 6425 之前的所有版本。

漏洞描述

Advantech iView v5.7.04 Build 6425 之前版本中的 SNMP 管理工具存在漏洞，远程攻击者能够绕过身份验证检查，通过'NetworkServlet'端点中的'data'参数触发 SQL 注入漏洞。成功利用此漏洞可导致用户数据泄露，包括明文密码。

技术细节

受影响产品

CVSS 评分

关联的 CWE 弱点

• CWE-89: SQL 命令中特殊元素的不当中和（SQL 注入）

• CWE-306: 关键功能缺少身份验证

解决方案

1. 将 Advantech iView 更新至版本 5.7.04 Build 6425 或更高版本

2. 应用版本 5.7.04 Build 6425 或更新版本

3. 限制对 NetworkServlet 端点的访问

4. 监控未经授权的数据访问

参考资源

• https://blog.exodusintel.com/2022/03/01/advantech-iview-page_action_service-parameter-sql-injection-remote-code-execution-vulnerability/

• https://www.advantech.tw/support/details/firmware?id=1-HIPU-183

• https://www.vulncheck.com/advisories/advantech-iview-data-parameter-sqli-information-disclosure

攻击模式分类（CAPEC）

• CAPEC-7: 盲 SQL 注入

• CAPEC-66: SQL 注入

• CAPEC-108: 通过 SQL 注入执行命令行

• CAPEC-109: 对象关系映射注入

• CAPEC-110: 通过 SOAP 参数篡改进行 SQL 注入

• CAPEC-470: 从数据库扩展对操作系统的控制

漏洞时间线

• 发布日期: 2025 年 11 月 6 日 20:15

• 最后修改: 2025 年 11 月 6 日 20:15

• 远程利用: 是

• 漏洞来源: disclosure@vulncheck.com 更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享