CVE-2026-5041 Chamber of Commerce 命令注入漏洞 (影响1.0)

在 code-projects Chamber of Commerce Membership Management System 1.0 (CVE-2026-5041) 中发现了一个命令注入漏洞。 admin/pageMail.php 文件的 fwrite 函数存在漏洞，允许攻击者通过操纵 mailSubject 和 mailMessage 参数在服务器上执行任意命令。 这种漏洞尤其令人担忧，因为它可以通过远程方式利用，这意味着攻击者无需物理访问系统即可破坏系统。 公开可用的漏洞利用程序进一步加剧了风险，因为它便于具有不同技术水平的恶意行为者利用。 目前没有可用的补丁意味着该系统的用户目前面临此风险。

Organizations utilizing the Chamber of Commerce Membership Management System version 1.0, particularly those hosting the application on publicly accessible servers, are at significant risk. Shared hosting environments where multiple users share the same server are especially vulnerable, as a compromise of one user's instance could potentially impact others.

• php / server:

grep -r 'fwrite($_SERVER["mailSubject"]' /var/www/html/admin/pageMail.php

• generic web:

curl -I http://your-chamber-system/admin/pageMail.php?mailSubject=;id;

• generic web:

curl -I http://your-chamber-system/admin/pageMail.php?mailMessage=;id;

1. 2026-03-29Disclosure

   disclosure

1. 已保留2026-03-27
2. 发布日期2026-03-29
3. 修改日期2026-03-30
4. EPSS 更新日期2026-04-04

由于 CVE-2026-5041 目前没有官方补丁，因此强烈建议 code-projects Chamber of Commerce Membership Management System 1.0 的用户立即停止使用该系统。 如果必须继续使用该系统，则应实施临时缓解措施，例如限制对 admin/pageMail.php 函数的访问仅限于授权用户，并密切监控系统日志以查找可疑活动。 此外，强烈建议用户寻找该系统的替代方案或联系开发人员以请求安全更新。 如果可用，升级到更新的版本是长期来看最有效的解决方案。