MEDIUMCVE-2026-41129

Craft CMS存在服务器端请求伪造 (SSRF) 问题，与资源上传突变相关

平台

php

组件

craftcms

修复版本

5.0.1

4.0.1

5.9.15

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

正在翻译为您的语言…

CVE-2026-41129 describes a Server-Side Request Forgery (SSRF) vulnerability discovered in Craft CMS. This flaw allows attackers to bypass filtering mechanisms and potentially access internal services within the application. The vulnerability affects versions 5.0.0-RC1 through 5.9.14, and a fix is available in version 4.17.9 and 5.9.15.

影响与攻击场景

CMS中的CVE-2026-41129漏洞允许攻击者通过上传恶意文件在底层服务器上执行任意命令。由于缺乏URL方案验证，可以使用Gopher协议，该协议可以封装TCP命令。与潜在的DWORD绕过（在原始描述中未详细说明）结合使用，这实现了远程代码执行。拥有必要权限（“编辑<VolumeName>卷中的资产”和“创建<VolumeName>卷中的资产”）的攻击者可能会破坏服务器安全并访问敏感数据或执行未经授权的操作。版本4.17.9提供了此漏洞的修复。

利用背景

利用此漏洞需要攻击者拥有“编辑<VolumeName>卷中的资产”和“创建<VolumeName>卷中的资产”权限。攻击者可以使用恶意的GraphQL请求上传包含Gopher命令的文件，这些命令将在服务器上执行。如果存在DWORD绕过，则利用过程将进一步简化。利用的成功取决于服务器配置和DWORD绕过是否存在。

哪些人处于风险中翻译中…

Organizations using Craft CMS in environments with exposed GraphQL endpoints and where users have permissions to edit or create assets within volumes are at increased risk. Shared hosting environments where multiple users share the same Craft CMS instance are particularly vulnerable, as a compromised user account could be leveraged to exploit the SSRF vulnerability.

检测步骤翻译中…

• php / server:

grep -r 'gopher:' /var/www/craftcms/config/general.php
grep -r 'gopher:' /var/www/craftcms/modules/*

• generic web:

curl -I 'http://your-craftcms-site.com/graphql' | grep 'Server: Craft CMS'

攻击时间线

2026-04-21Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

报告1 份威胁报告

EPSS

0.04% (11% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

受影响的软件

组件craftcms

供应商craftcms

影响范围修复版本

>= 5.0.0-RC1, < 5.9.15 – >= 5.0.0-RC1, < 5.9.155.0.1

>= 4.0.0-RC1, < 4.17.9 – >= 4.0.0-RC1, < 4.17.94.0.1

5.0.0-RC15.9.15

弱点分类 (CWE)

CWE-918

时间线

已保留2026-04-17
发布日期2026-04-21
修改日期2026-04-22
EPSS 更新日期2026-04-29

缓解措施和替代方案

为了减轻CVE-2026-41129，建议尽快将CMS更新到4.17.9或更高版本。此外，限制对“编辑<VolumeName>卷中的资产”和“创建<VolumeName>卷中的资产”权限的访问，仅限于授权用户。实施允许的URL方案（仅http和https）的严格白名单对于防止使用Gopher等协议至关重要。监控系统日志中与文件上传相关的可疑活动也有助于检测和响应潜在攻击。

修复方法翻译中…

Actualice Craft CMS a la versión 4.17.9 o superior, o a la versión 5.9.15 o superior para mitigar la vulnerabilidad de SSRF.  Asegúrese de que los permisos 'Editar activos en el volumen <VolumeName>' y 'Crear activos en el volumen <VolumeName>' estén configurados correctamente en el esquema GraphQL.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-41129 是什么 — Craft CMS 中的 SSRF？

Gopher是一种较旧的网络协议，允许进行文件传输和命令执行。在此上下文中，它允许攻击者在服务器上执行任意TCP命令。

Craft CMS 中的 CVE-2026-41129 是否会影响我？

DWORD绕过是一种漏洞，它允许攻击者通过操作DWORD格式的数据来绕过安全控制。原始描述表明这会简化利用过程，但没有提供具体细节。

如何修复 Craft CMS 中的 CVE-2026-41129？

需要“编辑<VolumeName>卷中的资产”和“创建<VolumeName>卷中的资产”权限。

CVE-2026-41129 是否正在被积极利用？

检查您的CMS版本。如果您使用的是4.17.9之前的版本，则您会受到影响。此外，请检查权限设置和URL验证。

在哪里可以找到 Craft CMS 关于 CVE-2026-41129 的官方安全通告？

请参阅国家漏洞数据库(NVD)等漏洞数据库中的CVE-2026-41129条目，或CMS供应商的网站。