EvtDanya/CVE-2026-27886
GitHub: EvtDanya/CVE-2026-27886
Strapi CVE-2026-27886漏洞检测工具
Stars: 0 | Forks: 0
# CVE-2026-27886 Strapi PoC
[Strapi 由于查询清理不足,通过关系过滤泄露敏感数据](https://github.com/strapi/strapi/security/advisories/GHSA-rjg2-95x7-8qmx).
包括:
* `CVE-2026-27886.py` - Python PoC
* `CVE-2026-27886.yaml` - 用于检测的 Nuclei 模板
## 检查内容
检查器向公共 Strapi 内容 API 集合端点发送两个请求:
```
GET /api/
GET /api/?where[id][$lt]=-1
```
如果基线响应有记录,并且错误的 `where` 谓词将结果集折叠为零,则端点可能存在漏洞。
## 使用方法
### Python
安全检查:
```
python3 CVE-2026-27886.py http://strapi/api/articles
```
字段枚举:
```
python3 CVE-2026-27886.py http://strapi/api/articles --enum-fields
```
### Nuclei
```
nuclei -t CVE-2026-27886.yaml -u http://strapi/api/articles
```
标签:API安全, CVE-2026-27886, Google, JSON输出, Nuclei, Python, Strapi, XML 请求, 反取证, 安全响应, 安全开发, 安全测试, 安全漏洞, 安全漏洞披露, 安全评估, 安全防护, 攻击性安全, 无后门, 查询注入, 逆向工具