CVE-2026-42552 CVSS 7.5 高危

CVE-2026-42552 Flight框架信息泄露漏洞

披露日期: 2026-05-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-42552

漏洞类型

信息泄露

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Flight

漏洞概述

Flight框架在3.18.1版本前存在严重信息泄露问题。其默认错误处理器会将异常消息、代码及包含绝对路径的堆栈跟踪直接写入HTTP响应。由于缺乏调试模式的限制，生产环境易泄露内部文件路径、敏感密钥及模块结构，为攻击者利用LFI或路径遍历漏洞提供关键信息。

技术细节

漏洞核心在于Flight框架的`Engine::_error()`默认错误处理函数缺乏生产环境的安全过滤机制。当应用程序发生未捕获异常时，该函数直接构建包含完整堆栈追踪、文件路径和行号的错误响应，且未区分调试与生产模式。攻击者无需任何认证权限，仅需通过网络发送特制请求（如构造畸形参数或访问不存在的路由）触发应用逻辑错误，即可在返回的HTTP 500响应中获取服务器绝对路径、源码结构及可能嵌入在异常中的敏感密钥。这些泄露的信息不仅暴露了系统架构，还极大降低了后续进行本地文件包含（LFI）或路径遍历等高危攻击的难度，构成了严重的安全隐患。

攻击链分析

STEP 1

侦察

识别目标网站是否使用了Flight框架，并确认其版本低于3.18.1。

STEP 2

触发异常

向目标发送特制的HTTP请求（如访问不存在的路由或提交畸形数据），诱导应用程序抛出未捕获的异常。

STEP 3

信息收集

捕获并分析服务器返回的HTTP 500错误响应，从中提取堆栈跟踪信息、绝对文件路径以及异常消息中可能包含的敏感凭据。

STEP 4

漏洞利用

利用获取到的绝对路径信息辅助进行本地文件包含（LFI）攻击，或利用泄露的密钥进行进一步的未授权访问。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
// PoC for CVE-2026-42552: Information Disclosure in Flight Framework
// This script demonstrates how triggering an error reveals sensitive paths.

require 'vendor/autoload.php';

use flight\Engine;

$app = new Engine();

// Route designed to trigger an error with sensitive info
$app->route('/GET /test', function(){
    // Simulating a logic error that exposes a secret
    throw new Exception("Database Connection Failed: host=db.internal user=root pass=secret123");
});

$app->start();

// Expected Result:
// The HTTP response will contain a stack trace showing the absolute path 
// to this script (e.g., /var/www/html/index.php) and the secret password.
?>

影响范围

Flight < 3.18.1

防御指南

临时缓解措施

建议尽快升级框架至修复版本。若暂时无法升级，应在应用入口处捕获所有异常并返回自定义错误页面，避免直接输出堆栈信息。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表