2026年7月6日,国家信息安全漏洞库(CNVD)公开编号为 CNVD-2026-26531 的高危漏洞:Joomla 组件 J-BusinessDirectory 4.9.7 版本存在 SQL 注入漏洞,对应 CVE 编号为 CVE-2019-25752。
更麻烦的是:厂商目前尚未发布漏洞修复方案,也没有补丁。
一、漏洞基本信息
| 项目 | 内容 |
| CNVD-ID | CNVD-2026-26531 |
| CVE 编号 | CVE-2019-25752 |
| 公开日期 | 2026年7月6日 |
| 危害级别 | 高 |
| 影响产品 | J-BusinessDirectory 4.9.7 |
| 漏洞类型 | SQL 注入 |
| 验证状态 | 已验证 |
| 厂商补丁 | 暂无 |
J-BusinessDirectory 是一款 Joomla 组件,用于扩展站点的内容展示和商业目录功能,常用于企业黄页、商家名录、分类信息类网站。
二、漏洞原理与危害
2.1 漏洞位置
问题出在 categories.getCategories 任务中,type 参数没有对用户输入的 SQL 语句片段进行充分过滤。攻击者可以在请求中构造恶意 SQL 片段,拼接进后端查询语句。
2.2 典型攻击方式
攻击者通常会发送如下形式的请求:
一旦拼接成功,数据库就会执行攻击者指定的 SQL 语句。
2.3 可能造成的后果
| 危害 | 说明 |
| 数据泄露 | 提取数据库 schema、表名、字段名 |
| 敏感信息窃取 | 用户账号、密码、邮箱、订单信息 |
| 数据库结构暴露 | 为进一步攻击提供情报 |
| 权限提升风险 | 在特定环境下可能执行写入操作 |
对于企业黄页、商家目录类网站来说,这往往是致命打击——一旦被拖库,所有入驻商家的联系方式、地址、资质文件都可能泄露。
三、为什么这个漏洞值得关注?
3.1 无补丁,意味着无法通过升级修复
厂商尚未提供修复方案和补丁。如果你的站点使用了 J-BusinessDirectory 4.9.7 版本,目前无法通过升级组件来解决这个漏洞。
3.2 漏洞已被验证,风险真实存在
CNVD 状态显示为”已验证”,说明已经有安全研究人员确认该漏洞可被成功利用。不是理论上的风险,而是可以复现的攻击。
3.3 Joomla 组件漏洞常被批量扫描利用
Joomla 虽然市场份额不如 WordPress,但在企业官网、政府门户、行业协会类网站中仍有大量应用。这类站点的特点是:更新慢、维护少、一旦被攻击影响很大。黑客通常会针对 Joomla 插件和组件漏洞编写自动化扫描工具,批量攻击。
四、主机吧的防护建议
4.1 立即自查
如果确认安装了该组件,且版本为 4.9.7,那么目前处于危险状态。
4.2 临时缓解方案
在厂商补丁发布之前,可以采取以下临时措施:
方案一:禁用受影响功能
如果站点暂时不需要目录分类展示功能,可以在 Joomla 后台禁用相关菜单项,减少暴露面。
方案二:临时修改代码过滤 type 参数
找到组件中的相关文件,对 type 参数做白名单校验。例如只接受整数:
⚠️ 修改组件代码需要一定技术能力,且可能影响正常功能。建议在测试环境先验证。
方案三:接入 WAF 虚拟补丁
这是主机吧最推荐的方案。百度云防护 WAF 可以在不修改代码、不升级组件的情况下,直接在网络层拦截针对该漏洞的 SQL 注入攻击流量。
五、WAF 虚拟补丁是最优解
这个案例再次验证了主机吧之前反复强调的观点:当漏洞没有补丁、修复窗口被压缩到小时级时,虚拟补丁(WAF 规则)是最有效的防护手段。
以 J-BusinessDirectory 这个 SQL 注入漏洞为例,WAF 可以通过以下方式防护:
| 防护手段 | 说明 |
| SQL 注入规则匹配 | 检测请求中是否包含 UNION SELECT、AND 1=1、SLEEP() 等 SQL 注入特征 |
| 参数过滤 | 对 type、id、catid 等参数做输入校验,拒绝异常字符 |
| URL 路径过滤 | 对 categories.getCategories 任务的请求做专门防护 |
| 自动更新规则库 | 漏洞公开后,WAF 规则库会在最短时间内增加对应防护规则 |
百度云防护 WAF 基础版 299 元/月,已包含 SQL 注入、XSS、远程代码执行等常见 Web 攻击防护,规则库平均每 2 周更新一次,通过主机吧购买享 7.5 折(224 元/月)。
🔗 https://www.zhujib.com/shop/26864.html
六、总结
J-BusinessDirectory 的 SQL 注入漏洞再次给 Joomla 用户敲响警钟:即使是不常用的组件,只要存在高危漏洞且无补丁,就可能成为黑客入侵的突破口。
在厂商补丁出来之前,主机吧建议:
- 立即自查是否安装受影响版本
- 暂时禁用不必要的目录功能
- 有条件的话对 type 参数做白名单过滤
- 最省心的方案:接入百度云防护 WAF,用虚拟补丁先扛住攻击
