CVE-2026-41656Admidio是一款开源的用户管理解决方案。在5.0.9版本之前,其modules/documents-files.php模块的添加功能存在安全漏洞。该漏洞源于name参数仅被验证为字符串类型(HTML编码),导致路径遍历字符(如../)未被过滤。由于该端点缺乏CSRF保护且使用SameSite=Lax会话Cookie,低权限攻击者可诱导文档管理员点击恶意链接。这将导致服务器上的任意文件(如包含数据库凭据的install/config.php)被注册到攻击者可访问的文档文件夹中,从而造成敏感信息泄露。该问题已在5.0.9版本中修复。
该漏洞的核心在于输入验证不足与CSRF防护缺失。首先,应用程序在处理文件添加请求时,仅对name参数进行了HTML编码以防止XSS攻击,却忽略了文件系统路径的安全性。这允许攻击者注入../等目录遍历序列,从而引用Web根目录之外的文件。其次,接口未实施有效的CSRF防御机制(如Anti-CSRF Token),且SameSite=Lax的Cookie策略在特定跨域请求场景下无法阻止攻击。攻击者利用这一点,构造包含恶意路径参数的URL(例如指向install/config.php),并将其发送给拥有文档管理权限的高级别管理员。一旦管理员在已登录状态下点击链接,浏览器即会自动发送请求,服务器将目标敏感文件注册为普通文档。攻击者随后即可通过前台界面直接下载并读取该文件,导致数据库凭证等关键信息泄露。