Plattform
php
Komponente
lamp-cloud
Behoben in
5.8.1
5.8.2
CVE-2026-5529 is a vulnerability affecting Dromara lamp-cloud versions 5.8.0 through 5.8.1. This improper authorization flaw allows remote attackers to bypass access controls and potentially gain unauthorized access to resources. The vulnerability resides within the pageUser function of the DefUserController component. While the project was notified, a fix is currently unavailable.
Eine Privilege-Escalation-Schwachstelle wurde in Dromara lamp-cloud bis zur Version 5.8.1 entdeckt. Die Schwachstelle befindet sich in der Funktion pageUser innerhalb der Datei /defUser/pageUser des Components DefUserController. Ein Angreifer kann diese Schwachstelle ausnutzen, um unbefugten Zugriff auf Ressourcen zu erhalten oder Aktionen ohne entsprechende Berechtigung auszuführen. Die Schwachstelle wird mit CVSS 4.3 bewertet, was ein signifikantes Risiko anzeigt. Die Tatsache, dass der Exploit jetzt öffentlich ist und aus der Ferne initiiert werden kann, erhöht die Dringlichkeit, diese Schwachstelle zu beheben. Das Fehlen einer Reaktion des Projekts trotz frühzeitiger Benachrichtigung über einen Problembericht ist besorgniserregend und erfordert sofortige Aufmerksamkeit.
Die Schwachstelle kann aus der Ferne ausgenutzt werden, was bedeutet, dass ein Angreifer keinen physischen Zugriff auf das betroffene System benötigt. Der Exploit ist öffentlich, was es Angreifern erleichtert, ihn zu nutzen. Das Component DefUserController und die Funktion pageUser sind die Angriffspunkte. Das Fehlen einer Reaktion des Projekts impliziert, dass die Schwachstelle über einen längeren Zeitraum unbehoben bleiben könnte, was das Risiko von Angriffen erhöht. Eine gründliche Sicherheitsprüfung wird empfohlen, um alle anderen potenziellen Risiken im Zusammenhang mit der lamp-cloud-Konfiguration zu identifizieren und zu mindern.
Organizations deploying lamp-cloud versions 5.8.0 through 5.8.1 are at immediate risk. This includes those using lamp-cloud for cloud management and automation tasks. Shared hosting environments utilizing these versions are particularly vulnerable due to the potential for cross-tenant exploitation.
• php / server:
find /var/www/html -name "DefUserController.php"• generic web:
curl -I https://your-lamp-cloud-instance/defUser/pageUser• generic web:
grep -r 'pageUser' /var/log/apache2/access.logdisclosure
poc
Exploit-Status
EPSS
0.01% (1% Perzentil)
CISA SSVC
CVSS-Vektor
Derzeit gibt es keine offizielle Behebung durch das Dromara-Projekt für CVE-2026-5529. Bis ein Patch veröffentlicht wird, wird Benutzern von lamp-cloud-Versionen vor 5.8.1 dringend empfohlen, vorübergehende Abhilfemaßnahmen zu ergreifen. Dies kann die Implementierung strengerer Zugriffskontrollen, die Überwachung des Systems auf verdächtige Aktivitäten und die Beschränkung des Zugriffs auf die Funktion pageUser umfassen. Es ist entscheidend, dass Benutzer über alle Aktualisierungen oder Patches informiert bleiben, die das Dromara-Projekt in Zukunft veröffentlichen könnte. Es wird empfohlen, sich direkt an das Dromara-Team zu wenden, um Bedenken zu äußern und eine Aktualisierung zum Status der Behebung anzufordern. Das Upgrade auf eine gepatchte Version, sobald verfügbar, ist die endgültige Lösung.
Actualice lamp-cloud a una versión corregida. El proyecto Dromara ha sido notificado del problema, pero aún no ha proporcionado una solución. Consulte las fuentes de referencia para obtener más información y posibles soluciones alternativas.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
CVSS 4.3 ist eine Schweregradbewertung, die das mit der Schwachstelle verbundene Risiko angibt. Ein Wert von 4.3 deutet auf ein moderates bis hohes Risiko hin.
Wenn Sie lamp-cloud-Version 5.8.1 oder früher verwenden, sind Sie wahrscheinlich von dieser Schwachstelle betroffen.
Implementieren Sie strengere Zugriffskontrollen, überwachen Sie das System auf verdächtige Aktivitäten und beschränken Sie den Zugriff auf die Funktion pageUser.
Konsultieren Sie die lamp-cloud-Dokumentation und Sicherheitsberichte im Zusammenhang mit CVE-2026-5529.
Versuchen Sie, das Dromara-Team über seine offiziellen Support-Kanäle zu kontaktieren, z. B. über seine Website oder sein GitHub-Repository.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.