漏洞概述 漏洞名称:CVE-2026-10721 和 CVE-2026-7866 漏洞类型:PHP 对象注入(PHP Object Injection) 漏洞描述: - CVE-2026-10721:在 Permission、Cache 和 Search 模块中, 函数未限制允许的类,导致 PHP 对象注入漏洞。 - CVE-2026-7866:在 Form blocks 和 File/Set 模块中, 函数未限制允许的类,导致 PHP 对象注入漏洞。 影响范围 受影响模块: - Permission - Cache - Search - Form blocks - File/Set CVSS 评分:8.4(高) 修复方案 修复措施: - 更新第三方 composer 库(如 twig/twig、symfony/yaml 等)以关闭新发现的安全漏洞。 - 在 函数中添加 参数,限制允许的类,防止 PHP 对象注入。 POC 代码或利用代码 页面中未提供具体的 POC 代码或利用代码。 其他信息 报告者:XananasX7 和 Sanjorn Keeratirungruang 贡献者:Sanjorn Keeratirungruang 提供了拉取请求。 发布日期:2026年(具体日期未提供) 总结 ConcreteCMS 9.5.2 版本中发现了两个 PHP 对象注入漏洞(CVE-2026-10721 和 CVE-2026-7866),影响了多个模块。修复方案包括更新第三方库和在 函数中添加 参数。建议用户尽快更新到最新版本以修复这些漏洞。