CVE-2026-21446 CVSS 9.8 严重

CVE-2026-21446: Bagisto安装后API路由未禁用导致未授权访问

披露日期: 2026-01-02

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-21446

漏洞类型

未授权访问/访问控制绕过

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Bagisto

漏洞概述

Bagisto是一个开源的Laravel电商平台。在2.3分支2.3.10之前的版本中，安装完成后API路由仍然保持活跃状态。底层API端点(/install/api/*)可直接访问和利用，无需任何认证。攻击者可以通过直接调用API端点来完全绕过安装程序。这允许任何未经身份验证的攻击者创建管理员账户、修改应用程序配置，并可能覆盖现有数据。版本2.3.10修复了此问题。

技术细节

该漏洞源于Bagisto安装程序的设计缺陷。在正常安装流程中，安装向导会引导用户完成数据库配置、管理员账户创建等初始化步骤。然而，安装完成后，/install/api/*路径下的API端点并未被正确禁用或移除。攻击者可以直接访问这些端点，绕过正常的安装流程，执行敏感操作如创建管理员账户、修改系统配置等。由于这些API端点缺少身份验证机制，任何网络可达的用户都能利用此漏洞。

攻击链分析

STEP 1

攻击者识别目标服务器上运行的Bagisto版本

STEP 2

直接访问未受保护的/install/api/*端点

STEP 3

通过API创建新的管理员账户或修改现有配置

STEP 4

使用创建的账户登录后台管理系统

STEP 5

执行进一步的恶意操作，如数据窃取或网站篡改

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

curl -X POST http://target/install/api/admin/create -d '{"username":"attacker","password":"evil123","email":"[email protected]"}'

影响范围

Bagisto < 2.3.10

防御指南

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表