FeMiner中的SQL注入漏洞CVE-2026-3969

FeMiner WMS（Enterprise Warehouse Management System）是一款基于 Spring Boot 以及 Maven 构建的开源企业级仓储管理系统。

一、基本情况

FeMiner wms 是一款基于PHP开发的开源仓库管理系统，轻量、开源、可二次开发，基于Spring Boot（后端），配套 MySQL 数据库。

FeMiner WMS 聚焦仓库 “收、存、拣、发” 全流程数字化管控，适用于中小企业搭建轻量、可定制仓管平台，覆盖基础仓储业务全流程。

栋科技漏洞库关注到 FeMiner wms 低于 1.0 版本中存在的SQL注入漏洞，该漏洞现已经被追踪为CVE-2026-3969，CVSS 3.X评分7.3。

二、漏洞分析

CVE-2026-3969安全漏洞是一个存在于 FeMiner wms 系统的基础组织架构（Basic Organizational Structure）模块中的 SQL 注入漏洞。

该漏洞是对企业仓储管理系统进行安全审核的过程中，在文件 \src\basic\depart\depart_add_bg.php 中发现了一个高危 SQL 注入漏洞。

漏洞源于 /wms-master/src/basic/depart/depart_add_bg.php 文件在处理Name参数时，未对用户输入进行有效过滤或使用参数化查询。

远程攻击者可通过构造恶意的 SQL 语句操纵 Name 参数，从而触发 SQL 注入，从而未授权访问数据库、增删改数据并获取敏感信息。

因此，这意味着攻击者通过 name 参数注入恶意代码，而程序未对该参数进行适当的过滤与校验，便直接将其拼接到 SQL 查询语句中。

潜在风险包括未授权访问数据库、泄露敏感数据、篡改数据、完全控制系统，造成服务中断，对系统安全和业务连续性构成严重威胁。

利用该漏洞无需登录，也不需要任何权限。

三、POC概念验证

1、利用载荷示例：

管理员已设置登录后刷新可查看

以下是使用 sqlmap 工具测试并获取到的部分具体信息截图：

管理员已设置登录后刷新可查看

管理员已设置登录后刷新可查看

2、修复建议

（1）使用预处理语句与参数绑定

预处理语句可将 SQL 代码与用户输入数据分离，用户输入会被当作纯数据处理，不会被解析为 SQL 指令，从而防御 SQL 注入。

（2）输入校验与过滤

对用户输入进行严格校验和过滤，确保其符合预期格式。

（3）最小化数据库用户权限

确保数据库连接账号仅拥有完成业务所需的最小权限，避免使用 root、admin 等高权限账号执行日常业务操作。

（4）定期安全审计

定期开展代码与系统安全审计，及时发现并修复潜在安全漏洞。

四、影响范围

FeMiner wms <= 1.0

五、修复建议

FeMiner wms > 1.0

六、参考链接

管理员已设置登录后刷新可查看