漏洞概述 标题: Pachno 1.0.6 (uploadfile) 不受限制的文件上传远程代码执行 严重性: HIGH 发布日期: 2026年4月12日 描述: Pachno 是一个开源协作平台(前身为 The Bug Genie),用于团队项目管理、问题跟踪和文档记录。该漏洞存在于 端点,允许经过身份验证的用户直接将文件上传到服务器。虽然文件上传功能需要管理员启用,但存储路径配置不当(位于可公开访问的公共目录中),且扩展名过滤无效。尽管存在黑名单机制,但使用的是硬编码代码,允许上传任意文件类型(如 )。上传的文件存储在磁盘上,且不受权限检查限制。如果上传路径可被 Web 访问,上传的脚本将被执行,从而导致远程代码执行。 受影响版本: 1.0.6 测试环境: GNU/Linux, Apache2, PHP/7.4.4, MySQL/5.7 (MariaDB) 参考编号: ZSL-2026-5982 CVE-2026-40048 --- 影响范围 受影响软件: Pachno 1.0.6 受影响组件: 端点 攻击条件: - 需要身份验证。 - 管理员需启用文件上传功能。 - 存储路径配置为可公开访问的公共目录。 后果: 远程代码执行 (RCE) --- 修复方案 官方修复: 截至发布日期,尚未提供官方修复。 临时缓解措施: - 确保文件上传的存储路径不在可公开访问的目录中。 - 加强扩展名过滤机制,避免使用硬编码黑名单。 - 对上传的文件进行权限检查,防止未授权访问。 --- POC 代码 --- 时间线 2026年4月6日: 发现漏洞。 2026年4月9日: 联系供应商。 2026年4月11日: 未收到供应商回复。 2026年4月12日: 公开安全公告发布。 --- 致谢 漏洞由 Gjoko Krstic 发现。 --- 参考 1. Pachno GitHub Repository 2. CVE-2026-40048 3. ZSL Advisory --- 变更日志 2026年4月12日: 初始发布。 2026年4月14日: 添加参考 [1], [2] 和 [3]。