bogdanrotariu/cve-2026-29204-whmcs-clientarea-addonid

# CVE-2026-29204 — WHMCS 客户区附加组件防护 关于 [CVE-2026-29204](https://help.whmcs.com/m/125386/l/2073908) 的非官方社区说明：在 `clientarea.php?action=productdetails` 页面上，已登录的客户端可以提供一个外来的 `addonId` 并配合 `modop=custom`，从而访问不属于当前会话的模块上下文。 **请优先升级。** 应用官方修补过的 WHMCS 版本（受支持分支上的 **8.13.3** 或 **9.0.4**）。请参阅 [8.13](https://docs.whmcs.com/releases/8-13/8-13-change-log/) 和 [9.0](https://docs.whmcs.com/releases/9-0/9-0-change-log/) 的更新日志。 `mitigation/` 中的 hook 是一个**临时、可选的**客户端防护措施。它**不是**官方补丁，也**不能**替代升级。除非您有单独的、记录在案的策略，否则请在安装补丁后将其移除。 ## 安装（可选桥接） ``` cp mitigation/includes/hooks/cve_addonid_clientarea_guard.php /path/to/whmcs/includes/hooks/ ``` 该 hook 会在 `productdetails` 页面上配合 `modop=custom` 时，根据会话客户端和服务 `id` 检查 `addonId` 的所有权，然后重定向外来的非法请求。它不依赖于客户区语言字符串。被阻止的尝试会被记录在 **Utilities → Logs → Activity Log**（工具 → 日志 → 活动日志）中。 ## 免责声明 按“原样”提供，不提供任何保证。与 WHMCS 无关。请仅在您拥有或获得授权更改的系统上使用。您需对备份、测试和合规性负责。作者不保证此 hook 能够防止滥用或替代官方安全更新。

标签：CISA项目, CVE-2026-29204, ffuf, Hook, IDOR漏洞, OpenVAS, PHP, Streamlit, Web安全, Web报告查看器, WHMCS, 主机管理系统, 垂直越权, 安全钩子, 安全防护, 权限绕过, 水平越权, 漏洞修复, 漏洞缓解, 系统运维, 网络安全, 网络安全培训, 蓝队分析, 补丁, 访问控制, 越权访问, 隐私保护, 零日漏洞