Craft CMS 用户组移除权限绕过漏洞 (CVE-2026-41128)

Craft CMS 用户组移除权限绕过漏洞总结 漏洞概述 标题: Missing Authorization Check on User Group Removal via save-permissions Action CVE ID: CVE-2026-41128 严重程度: Moderate (中等) 报告者: kamimura 发布时间: 上周 核心问题: 在 Craft CMS 中， 端点允许拥有 权限的用户移除任意用户的所有用户组。虽然该端点对“添加”操作执行了基于组的授权检查，但对“移除”操作没有执行等效的授权检查。提交空的 值会移除该用户所有现有的组 memberships。 受影响版本: Craft CMS 5.6.0 至 5.9.14 (报告时最新) 回归漏洞：在 5.6.0 中引入，当时添加了 权限 在 5.6.0 之前， 需要 权限，隐式保护了此端点 需要 Pro 版或更高版本（漏洞代码路径由 门控） 漏洞根因: 这是一个在 Craft CMS 5.6.0 中引入的回归漏洞。在 权限添加之前， 需要 权限来访问其他用户数据，这隐式保护了 。更改后， 对具有只读访问权限的其他用户变得可达，但底层的组保存逻辑仍然缺乏对组移除的授权检查。 漏洞有两个组成部分： 1. 可通过只读访问：该操作只需要控制面板请求，并委托给 ，而 现在仅检查 权限——一个明确记录为“仅读取访问用户元素”的权限。 2. 中的非对称授权：该方法仅在向新用户添加组时检查 权限。当 参数为空字符串（空数组）时，循环被完全跳过，不运行任何授权检查，所有组 memberships 都被移除。 先决条件: 攻击者拥有具有 和 权限的控制面板账户 目标用户属于一个或多个授予额外权限的用户组 Pro 版或更高版本 攻击步骤: 1. 攻击者向控制面板进行身份验证 2. 攻击者向 发送 POST 请求，参数如下： - = 目标用户的 ID - = "" (空字符串) 3. 目标用户的所有组 memberships 被移除 4. 从这些组继承的所有权限立即被撤销 影响: 权限撤销: 攻击者可以从任意用户（包括其有效访问权限源自组 memberships 的账户）中剥离基于组的权限 拒绝访问: 用户会失去通过组 memberships 授予的节、卷和功能的访问权限 绕过提升会话要求: 组移除不会触发 （仅在添加新组时触发） 影响范围 受影响版本: >= 5.6.0, <= 5.9.15 修复版本: 5.9.15 软件包: craftcms/cms (Composer) 修复方案 升级到 Craft CMS 5.9.15 或更高版本以修复此漏洞。 POC/利用代码 页面中未提供具体的 POC 代码块，但描述了攻击步骤和请求参数：

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

Craft CMS 用户组移除权限绕过漏洞 (CVE-2026-41128)

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Craft CMS 用户组移除权限绕过漏洞 (CVE-2026-41128)

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！