近期，网络空间安全学院冯景瑜副教授带领的系统与数据安全团队硕士研究生再次挖掘到四个漏洞，被国际著名的通用漏洞披露平台“Common Vulnerabilities & Exposures”收录（编号分别为CVE-2022-37178、CVE-2022-37179、CVE-2022-37180、CVE-2022-37181）。

【CVE-2022-37178：72CRM存在SQL注入漏洞】

72CRM是完全开源，助力中小企业客户管理信息化，国内首家支持PHP/JAVA多开发语言的开源CRM系统。在受影响的版本中，查看任务日历功能未清理和转义stop_time参数和start_time参数，这可能允许高权限用户执行SQL注入攻击。漏洞威胁等级：严重，漏洞评分：8.8。

 

【CVE-2022-37181：72CRM存在任意文件上传漏洞】

在受影响的72CRM版本中，上传logo功能未检测上传文件的类型，具有管理员权限的用户可以通过该功能上传任意文件，攻击者可通过上传恶意文件从而控制服务器。漏洞威胁等级：严重，漏洞评分：9.8。

 

【CVE-2022-37180：C3PM项目一体化平台存在硬编码】

C3PM将项目管理理论、项目管理专家智慧、BIM、移动互联网和软件技术相结合，为项目干系人（多方机构）搭建一个基于互联网的企业级项目管理协同工作平台。在受影响版本内，C3PM一体化平台存在硬编码漏洞，攻击者可以通过该硬编码登录管理后台，经测试大量网站存在该漏洞，影响面较为广泛。

【CVE-2022-37179：北京某公司系统存在SQL注入漏洞】

在对该公司demo站点进行漏洞挖掘过程中，发现该站点某页面未对传入参数进行充分过滤导致攻击者通过精心构造payload即可获取数据库内容。

 

同时，CVE-2022-37178、CVE-2022-37181也被360漏洞云情报平台披露，给出了漏洞评分，并在CVE官方公布后第一时间进行了安全漏洞预警，通过互联网第三方搜索引擎可发现承载漏的目标系统应用较为广泛，具有相当规模的威胁影响力。

当前，漏洞的存在是造成网络空间威胁的主要根源，指实现网络空间的硬件、软件、协议等存在的脆弱性或缺陷，可以使攻击者能够在未授权的情况下访问或破坏系统。通过漏洞挖掘，及时发现和修补漏洞，是保障网络空间安全的有效措施。

CVE通用漏洞披露平台是国际著名的安全漏洞库，也是对已知漏洞和安全缺陷的标准化名称的列表。CVE是一个由企业界、政府界和学术界综合参与的国际性组织，采取一种非盈利的组织形式，其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞。