漏洞描述 NodeBB v4.3.0 在其搜索分类 API 端点(/api/v3/search/categories)中存在 SQL 注入漏洞。由于搜索查询参数未得到适当清理,攻击者可以通过注入基于布尔和基于 PostgreSQL 错误的数据负载,未经身份验证地远程执行恶意操作。这可能导致敏感数据泄露或数据库被破坏。
相关漏洞推荐 POC CVE-2023-43187: NodeBB XML-RPC Request xmlrpc.php - XML Injection POC nodebb-installer: NodeBB Web Installer NodeBB socket.io eventName 拒绝服务漏洞 NodeBB 远程代码执行漏洞