Pachno 1.0.6 FileCache 反序列化远程代码执行漏洞 漏洞概述 Pachno 是一个开源协作平台,用于团队项目管理、问题跟踪和文档。该漏洞源于框架在引导阶段( 序列)对存储在 目录下的文件内容使用了 函数。 攻击者可以通过向 目录写入包含序列化 PHP 对象载荷的文件,在下一个 HTTP 请求时触发任意代码执行。 影响范围 受影响版本: 1.0.6 测试环境: GNU/Linux, Apache2, PHP 7.4, MySQL 5.7 (MariaDB) 漏洞成因: 缓存文件使用世界可写权限(chmod 0666)创建,且文件名由一组常量派生,具有确定性且可预测。 修复方案 目前页面未提供具体的修复代码或补丁,仅记录了漏洞发现及披露的时间线: 06.04.2026: 发现漏洞 09.04.2026: 联系厂商 11.04.2026: 厂商无回应 12.04.2026: 发布公开安全公告 漏洞利用代码 (POC) 页面中提供的 POC 文件名为 ,内容如下: 注意: 上述代码仅为概念验证,实际利用需结合具体的文件路径和文件名生成逻辑。