CVE-2026-30878baserCMS是一个广泛使用的网站开发框架。在5.2.3版本之前,其公开的邮件提交API存在严重逻辑缺陷。未经身份认证的远程攻击者可以利用此漏洞,绕过管理员在后台设置的表单接收限制,强行提交邮件表单条目。该问题导致原本旨在停止表单摄入的管理控制完全失效,攻击者可借此发送大量垃圾邮件或进行恶意滥用,对业务造成干扰。
该漏洞的根源在于baserCMS在处理邮件表单提交时的业务逻辑校验不严格。虽然管理员可以通过后台配置关闭特定表单的接收功能,但在受影响版本中,处理表单提交的公共API接口并未有效验证表单的当前状态或执行权限检查。由于该漏洞无需用户交互(UI:N)且无需身份认证(PR:N),攻击者可以直接构造恶意HTTP POST请求发送至API端点。这个请求会绕过前端限制和管理配置,直接将数据写入系统。这种逻辑缺陷使得攻击者能够无视“停止接收”的指令,导致系统面临垃圾信息轰炸和资源滥用的风险。此外,由于缺乏速率限制,攻击者还可自动化脚本进行大规模批量提交,进一步加剧了对服务可用性和业务处理能力的冲击。