CVE-2026-27760OpenCATS在commit 3002a29之前的版本中存在严重的PHP代码注入漏洞。该漏洞位于安装程序的AJAX端点,允许未经身份验证的攻击者通过向databaseConnectivity参数注入恶意PHP语句来执行任意代码。攻击者只需利用单引号和语句分隔符即可突破config.php中的define()字符串上下文。在安装向导未完成的情况下,注入的代码将持久化并在每次加载页面时执行。
该漏洞的根源在于OpenCATS安装程序处理用户输入时存在严重缺陷。具体来说,攻击者可以向`modules/install/ajax/ui.php`端点发送POST请求,并在`databaseConnectivity`参数中构造特定的恶意Payload。由于程序未对该参数的单引号进行转义处理,该参数值会被直接拼接到`config.php`文件的`define()`函数字符串上下文中。攻击者通过注入`');`闭合前面的字符串并结束当前函数调用,随后插入任意恶意的PHP代码。只要系统处于未安装完成的状态,这段持久化在配置文件中的代码就会被Web服务器解析执行。由于`config.php`通常在应用启动时被全局加载,这导致恶意代码在每次页面访问时触发,从而无需认证即可获取服务器控制权。