NathanHimself/CVE-2026-38526-PoC

# CVE-2026-38526 | Krayin CRM v2.2.x 认证远程代码执行漏洞 - TinyMCE 未限制的 PHP 文件上传 ## 描述 CVE-2026-38526 是一个影响 Webkul Krayin CRM v2.2.x 的严重认证远程代码执行漏洞。该漏洞存在于 TinyMCE 媒体上传端点 `/admin/tinymce/upload`，其未能对上传的文件类型进行有效验证。经过认证的攻击者可以上传一个恶意的 PHP 文件，并在服务器上执行任意命令。 - **CVE:** CVE-2026-38526 - **CVSS 评分:** 9.9 (严重) - **CWE:** CWE-434 - 未限制上传危险类型文件 - **受影响版本:** Krayin Laravel CRM v2.2.x - **供应商:** Webkul ## 技术细节 `/admin/tinymce/upload` 端点接受用于 TinyMCE 富文本编辑器的多部分文件上传。服务器不对上传的文件类型或扩展名进行任何验证，从而允许攻击者上传 PHP 网站后门。上传的文件存储在一个可通过网络访问的目录 (`/storage/tinymce/`) 中，这意味着后续对该文件路径的 GET 请求将导致 PHP 解释器执行负载。 **攻击流程:** 1. 使用任何有效账户认证访问 Krayin CRM 2. 向 `/admin/tinymce/upload` 上传一个 PHP 网站后门，并将 `Content-Type` 伪装为 `image/jpeg` 3. 服务器响应返回上传文件的 URL 4. 向该 URL 发送 GET 请求，触发以 `www-data` 身份执行代码 ## 使用要求 - Python 3.x - `requests` 库 (`pip install requests`) - 目标 Krayin CRM 实例的有效凭证 ## 使用方法 | 标志 | 描述 | |---|---| | `-t` | 目标 URL | | `-u` | 登录邮箱地址 | | `-p` | 登录密码 | | `-c` | 要在目标上执行的操作系统命令 | ``` git clone https://github.com/NathanHimself/CVE-2026-38526-PoC cd CVE-2026-38526-PoC chmod +x exploit.py python3 exploit.py -t -u -p -c ``` ## 免责声明 本工具仅用于授权的渗透测试和教育目的。请勿用于测试您未获得明确许可的系统。 作者不承担任何责任，对于因使用本概念验证代码（PoC）而产生的任何误用、损害或非法活动概不负责。 ## 参考链接 - https://github.com/TREXNEGRO/Security-Advisories/tree/main/CVE-2026-38526 - https://socradar.io/blog/cve-2026-38526-krayin-crm-rce/ - https://nvd.nist.gov/vuln/detail/CVE-2026-38526

标签：CISA项目, CVE漏洞, Krayin CRM, Laravel框架, PHP安全, PoC工具, TinyMCE编辑器, Webshell, Web安全, 代码执行, 代码生成, 情报收集, 攻击脚本, 文件上传漏洞, 渗透测试工具, 漏洞研究, 编程工具, 网络信息收集, 网络安全, 蓝队分析, 认证攻击, 远程代码执行, 逆向工具, 隐私保护