UmbraDeorum/cutenews-2.0-CVEs-2026-Disclosure

# cutenews-2.0-CVEs-2026-Disclosure Cutenews (https://github.com/CuteNews/cutenews-2.0) 多个 2026 CVE 披露仓库 **供应商：** CuteNews **受影响产品：** [CuteNews v.2.1.2](https://github.com/CuteNews/cutenews-2.0) (最后一次提交 `16d630d`，2025年2月21日) **修复状态：** 目前没有修复版本 ## CVE-2026-36467 — 不受限的危险类型文件上传 | 字段 | 详情 | |---|---| | **CWE** | CWE-434: 不受限的危险类型文件上传 | | **组件** | `core/modules/media.php:175–255` — `upload_from_inet` (Media Manager) | | **攻击类型** | 远程 | | **影响** | 代码执行 | **描述：** `core/modules/media.php` 中存在的不受限危险类型文件上传漏洞，允许拥有 Media Manager 面板访问权限的远程认证用户在 Web 应用程序的上下文中执行任意代码，通过触发反弹 shell 导致远程服务器访问。 **攻击向量：** 任何角色可以访问 Media Manager 面板都可以利用“通过 URL 上传”功能中的 SSRF 漏洞，包含一个精心构造的 PHP 反弹 shell 文件，该文件绕过了组件不充分的文件验证机制。 **参考：** - https://github.com/CuteNews/cutenews-2.0 - https://github.com/CuteNews/cutenews-2.0/blob/master/core/modules/media.php ## CVE-2026-36468 — 通过 URL 参数键的反射型 XSS | 字段 | 详情 | |---|---| | **CWE** | 跨站脚本攻击 (XSS) | | **组件** | `index.php` | | **攻击类型** | 远程 | | **影响** | 权限提升、信息泄露、内容操纵/篡改 | **描述：** `index.php` 中的跨站脚本攻击 (XSS) 允许远程未经认证的攻击者提供一个任意命名的 URL 参数键，其名称的一部分包含任何 URL 编码的常见 XSS payload（例如 `">`）。 **攻击向量：** 提供一个任意命名的 URL 参数键，其名称包含 URL 编码的 XSS payload。 **参考：** - https://github.com/CuteNews/cutenews-2.0 ## CVE-2026-36469 — 服务端请求伪造 (SSRF) | 字段 | 详情 | |---|---| | **CWE** | CWE-918: 服务端请求伪造 (SSRF) | | **组件** | `core/modules/media.php` — `upload_from_inet` (Media Manager) | | **攻击类型** | 远程 | | **影响** | 信息泄露；将应用服务器用作进一步攻击的代理 | **描述：** CuteNews v.2.1.2 的 Media Manager “通过 URL 上传”功能中存在服务端请求伪造 (SSRF) 漏洞。 **攻击向量：** 攻击者必须提供一个指向内部 IP 地址的 URL（可选带有端口和/或子目录）。 **参考：** - https://github.com/CuteNews/cutenews-2.0 - https://github.com/CuteNews/cutenews-2.0/blob/master/core/modules/media.php ## CVE-2026-36470 — 通过 Referer 头的反射型 XSS | 字段 | 详情 | |---|---| | **CWE** | 跨站脚本攻击 (XSS) | | **组件** | `index.php` | | **攻击类型** | 本地 | | **影响** | 权限提升、信息泄露 | **描述：** 在对 `index.php` 发起 POST 请求期间，`Referer` 头的值未经修改和转义就被复制到响应 HTML 中。 **攻击向量：** 精心构造的 `Referer` 头值未经清理直接反射到 HTML 响应中。 **参考：** - https://github.com/CuteNews/cutenews-2.0 ## CVE-2026-36471 — 通过 `__post_data` 的不安全反序列化 | 字段 | 详情 | |---|---| | **CWE** | CWE-502: 不可信数据反序列化 (PHP 对象注入) | | **组件** | `/core/core.php`，第 2754 行 (`unserialize()` 调用) | | **攻击类型** | 远程 | | **影响** | 在渲染的响应 HTML 中注入内容 | **描述：** `cn_parse_url()` 中 `__post_data` 参数的不可信数据反序列化漏洞，允许远程攻击者通过提交精心构造的 base64 编码的序列化 PHP payload 作为 POST 参数，向内部请求变量（包括 `__referer`）注入任意值。 **攻击向量：** 攻击者向 `/cutenews/index.php?lostpass=x` 提交一个带有精心构造的序列化 payload（例如通过 Python 的 `phpserialize` 和 `base64` 模块生成）的 POST 请求，其中包含要注入到任何内部请求变量中的任意值。 **链路说明：** 该漏洞与 `__referer` 值的不当中和（CVE-2026-36472）以及表单提交端点缺失的 CSRF 保护相结合，导致从认证用户那里窃取会话 token 和 anti-CSRF 签名密钥。该链路被统一记录为：*未经认证的会话劫持（通过 `__post_data` 的不安全反序列化 → self-XSS，通过 CSRF 投递）*。 **参考：** - https://github.com/CuteNews/cutenews-2.0 - https://github.com/CuteNews/cutenews-2.0/blob/master/core/core.php ## CVE-2026-36472 — 通过 `__referer` 注入的 Self-XSS | 字段 | 详情 | |---|---| | **CWE** | 跨站脚本攻击 (XSS) | | **组件** | `/core/core.php`，第 2774 行 (`$_POST['__referer'] = $post_data['__referer'];`) | | **攻击类型** | 远程 | | **影响** | Self-XSS | **描述：** 对 `__referer` 值的不当中和允许远程攻击者通过 `javascript:` URI 在 `msg_info` 页面上渲染为未经清理的可点击链接，从而在认证用户的会话上下文中执行任意 JavaScript。 **攻击向量：** 已经发现反序列化向量（CVE-2026-36471）的攻击者可以使用带有 `javascript:` 前缀且包含任意 JavaScript 代码（甚至是多行代码）的 payload 来针对 `__referer` 值。然后它会被渲染为一个未经清理的可点击链接，在交互后在浏览器上下文中执行。 **链路说明：** 该漏洞与不安全反序列化（CVE-2026-36471）和缺失的 CSRF 保护相结合，导致会话 token 和 anti-CSRF 签名密钥被窃取。该链路被统一记录为：*未经认证的会话劫持（通过 `__post_data` 的不安全反序列化 → self-XSS，通过 CSRF 投递）*。 **参考：** - https://github.com/CuteNews/cutenews-2.0 - https://github.com/CuteNews/cutenews-2.0/blob/master/core/core.php ## 常用测试环境 所有漏洞均通过代码审查发现，并在 Kali Linux 上使用 Firefox 浏览器 + Burp Suite 确认。DNS 由 Burp Suite 处理（`target.local` 代表目标，`attacker.local` 代表攻击者）。 **部署：** ``` sudo apt install apache2 php php-gd libapache2-mod-php sudo apt install php php-gd php-mbstring php-xml php-curl libapache2-mod-php git clone https://github.com/CuteNews/cutenews-2.0.git sudo cp -r /home/kali/assessment/cutenews-2.0 /var/www/html/cutenews wget https://github.com/CuteNews/cutenews-2.0/releases/download/2.0.1/cdata.zip unzip cdata.zip -d cdata sudo cp -r cdata /var/www/html/cutenews sudo mkdir /var/www/html/cutenews/uploads sudo chown -R www-data:www-data /var/www/html/cutenews sudo systemctl restart apache2 # 在浏览器中打开 http://localhost/cutenews/ 并完成管理员账户设置。 ```

标签：CISA项目, OpenVAS, PHP, Web安全, 漏洞披露, 蓝队分析