CVE-2026-23885 Alchemy CMS远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2026-23885

漏洞类型

远程代码执行

CVSS评分

6.4 中危

攻击向量

本地 (AV:L)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Alchemy CMS

漏洞概述

Alchemy是一个开源的Ruby on Rails内容管理系统引擎，在7.4.12和8.0.3之前的版本中存在远程代码执行漏洞。

技术细节

该漏洞源于app/helpers/alchemy/resources_helper.rb第28行使用eval()函数动态执行resource_handler.engine_name属性。攻击者通过注入恶意Ruby代码，可绕过安全检查并执行任意系统命令。

攻击链分析

STEP 1

步骤1

攻击者获取Alchemy CMS高权限账户

STEP 2

步骤2

通过管理接口构造包含恶意Ruby代码的engine_name参数

STEP 3

步骤3

触发resources_helper.rb中的eval()函数执行注入代码

STEP 4

步骤4

实现远程代码执行，执行任意系统命令

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

需要身份验证的高权限用户通过构造特定engine_name参数触发eval()执行恶意代码

影响范围

Alchemy CMS < 7.4.12

Alchemy CMS < 8.0.3

防御指南

临时缓解措施

临时方案：限制用户权限，禁用管理接口访问；长期方案：升级到最新版本