以下是从网页截图中获取到的关于漏洞的关键信息: 漏洞概述 漏洞类型: Authenticated Remote Code Execution (RCE) via eval injection in ResourcesHelper 严重性: Moderate (6.6/10) 影响版本: 7.4.11, 8.0.2 修补版本: 7.4.12, 8.0.3 漏洞详情 摘要: 在对AlchemyCMS源代码进行手动安全审计时发现了一个漏洞。应用程序使用了Ruby的 函数来动态执行由 属性提供的字符串。 详细描述: 漏洞位于 文件的第28行。代码明确地绕过了安全检查,使用了危险的函数但未进行适当的缓解。由于 可以被管理配置影响,攻击者可以绕过Ruby沙箱并在主机操作系统上执行任意命令。 证明概念 (PoC) 关键代码: PoC脚本: 展示了 函数可以直接被利用,创建了验证文件并成功执行了命令。 其他信息 CVE ID: CVE-2026-23885 弱点类型: CWE-95 (Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection')) 报告者: TheDeepOpC 这些信息对于理解漏洞的严重性、范围以及如何修复它非常重要。