CVE-2026-30457Daylight Studio FuelCMS v1.5.2版本中的/parser/dwoo组件存在严重的安全缺陷。该漏洞源于组件未能正确过滤用户提交的数据,允许攻击者通过网络向量注入并执行恶意的PHP代码。由于无需任何身份认证和用户交互,未经授权的攻击者可远程利用此漏洞,导致服务器被完全控制,存在极高的数据泄露和系统被破坏风险。
该漏洞的核心在于FuelCMS使用的Dwoo模板引擎在处理特定解析请求时存在逻辑缺陷。攻击者可以利用/parser/dwoo接口,构造包含恶意PHP语法的HTTP POST请求。由于系统未对传入的模板数据进行严格的沙箱隔离或安全转义,攻击者可以通过Dwoo的特定标签或PHP原生代码注入功能绕过防御机制。一旦恶意载荷被服务器端接收并解析,Web服务器将以当前运行权限执行该代码。这通常导致攻击者获取Webshell,能够读取敏感文件、安装后门或进一步横向移动,对服务器机密性、完整性和可用性造成严重影响。