CVE-2026-36340 漏洞总结 漏洞概述 漏洞名称:Krayin CRM v2.1.5 远程代码执行 (RCE) 漏洞 CVE 编号:CVE-2026-36340 严重程度:Critical (严重) 受影响产品:Krayin CRM v2.1.5 漏洞类型:远程代码执行 (RCE) 认证要求:需要认证 (Authenticated) 漏洞成因:在“Email -> Compose”功能中,后端未对上传的文件进行严格的文件扩展名验证、MIME 类型检查及代码过滤。攻击者可以上传恶意 PHP 文件,并将其存储在 Web 服务器可访问的公开目录中,从而通过访问该文件 URL 执行任意代码。 影响范围 受影响路由: 存储路径:上传的文件被存储在 潜在后果: 执行任意操作系统命令 上传并运行 Webshell 访问、修改或删除服务器文件 内网横向移动 窃取数据库内容 完全接管 CRM 服务器 修复方案 1. 限制允许上传的文件扩展名。 2. 在服务端验证 MIME 类型。 3. 将上传的附件存储在非公开访问的目录中。 4. 通过 Web 服务器规则阻止上传文件的执行。 5. 在后端控制器中添加严格的验证逻辑。 6. 拒绝 , , 等可执行文件类型。 7. 使用安全生成的文件名重命名上传文件。 8. 对上传的文件和目录应用最小权限原则。 9. 监控上传目录中的可疑文件。 10. 审查所有现有的上传附件以查找可执行文件。 概念验证 (PoC) 利用步骤: 1. 登录 Krayin CRM。 2. 进入 Email -> Compose。 3. 上传一个 文件作为附件。 4. 提交邮件表单。 5. 上传的文件将存储在以下路径: 6. 访问上传文件的 URL 即可执行上传的载荷。 受影响端点: 示例上传文件路径: 视频 PoC 链接: https://cyber.spool.co.jp/wp-content/uploads/2026/04/RCE-krayin.mp4