CyberPower /api/v1/ndconfig SQL 注入漏洞 （CVE-2024-32739）

影响产品：CyberPower-PDU CVSS：7.5 漏洞类型：SQL注入 漏洞描述： CyberPower Power Device Network Utility（PDNU）是 CyberPower 公司推出的一款网络电源设备管理工具，用于监控和管理 UPS、PDU 等电源设备。该产品提供 Web 管理界面，支持设备状态监控、电源管理、网络配置等功能，广泛应用于数据中心、机房、服务器等场景。CyberPower PDNU /api/v1/ndconfig 接口存在 SQL 注入漏洞，攻击者可通过 uid 参数进行 UNION SELECT 注入，获取数据库敏感信息。 影响： 攻击者可利用该漏洞获取数据库敏感信息，包括管理员账号密码、设备配置信息、用户数据等，造成严重的数据泄露风险。在高权限情况下，攻击者甚至可能写入木马获取服务器权限。 修复建议： 建议厂商尽快修复该漏洞，临时修复方案：1、对 uid 参数进行严格的参数验证和过滤2、使用参数化查询代替字符串拼接3、限制数据库账号权限，遵循最小权限原则4、对外暴露的接口增加身份认证校验 FOFA： title="PDNU"