CVE-2026-42796Arelle 2.39.10之前版本存在严重的未认证远程代码执行漏洞。该漏洞源于`/rest/configure` REST端点在处理`plugins`参数时缺乏有效的身份验证与授权机制。攻击者可利用此缺陷,通过构造包含恶意Python文件URL的请求,迫使Arelle服务器下载并执行任意代码,从而完全控制受影响的服务器系统,造成数据泄露或破坏。
该漏洞主要存在于Arelle的REST API架构设计缺陷中。具体来说,`/rest/configure`端点被设计用于配置插件,其接收名为`plugins`的查询参数。系统在处理该参数时,直接将其值转发给后端的插件管理器,而未经过任何形式的身份验证或授权检查。此外,插件管理器在处理外部URL时缺乏沙箱隔离或输入验证机制。攻击者利用这一逻辑漏洞,只需向目标服务器发送一个精心构造的HTTP GET或POST请求,将`plugins`参数指向托管在互联网上的恶意Python文件。服务器端在解析请求后,会尝试获取并动态加载该远程Python文件。由于代码是在Arelle进程上下文中执行的,攻击者即可获得服务器的操作系统级访问权限,实现完全的远程控制。