免费扫描
CRITICALCVE-2026-45714CVSS 9.1

CVE-2026-45714: RCE in CubeCart v6

平台

php

组件

cubecart-v6

修复版本

6.7.0

在NVD查看
保存

CVE-2026-45714 描述了 CubeCart v6 中的服务器端模板注入 (SSTI) 漏洞,允许经过身份验证的用户执行任意操作系统命令。该漏洞影响 CubeCart v6 的 6.0.0 到 6.7.0 之前的版本,尤其是在电子邮件模板、发票、文档和联系表单等模块中。通过升级到 6.7.0 版本可以解决此问题。

影响与攻击场景

攻击者可以利用此 SSTI 漏洞在 CubeCart 服务器上执行任意代码。由于漏洞需要管理员权限,攻击者需要先获得 CubeCart 系统的合法登录凭据。一旦获得权限,攻击者就可以利用模板引擎的漏洞执行恶意命令,例如上传恶意文件、修改数据库内容、甚至完全控制服务器。这种攻击可能导致数据泄露、服务中断,甚至整个系统的破坏。与类似的安全事件相比,该漏洞的潜在影响非常严重,可能导致严重的经济损失和声誉损害。

利用背景

目前尚无公开的漏洞利用代码 (POC),但由于漏洞的严重性和易用性,预计未来可能会出现。该漏洞已在 2026 年 5 月 13 日发布,目前尚未观察到大规模的利用活动。建议密切关注安全社区的动态,并及时采取相应的安全措施。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露
报告3 份威胁报告

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H9.1CRITICALAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredHigh攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeChanged超出受影响组件的影响范围ConfidentialityHigh敏感数据泄露风险IntegrityHigh数据未授权篡改风险AvailabilityHigh服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
高 — 需要管理员或特权账户。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
已改变 — 攻击可以超出脆弱组件,影响其他系统。
Confidentiality
高 — 完全丧失机密性,攻击者可读取所有数据。
Integrity
高 — 攻击者可写入、修改或删除任何数据。
Availability
高 — 完全崩溃或资源耗尽,完全拒绝服务。

受影响的软件

组件cubecart-v6
供应商cubecart
最低版本6.0.0
最高版本< 6.7.0
修复版本6.7.0

弱点分类 (CWE)

CWE-94CWE-1336

时间线

  1. 已保留
  2. 发布日期

缓解措施和替代方案

最有效的缓解措施是立即将 CubeCart 升级到 6.7.0 版本。如果无法立即升级,可以考虑以下临时缓解措施:首先,限制管理员账户的访问权限,并实施严格的身份验证机制。其次,审查 CubeCart 的配置,确保禁用所有不必要的模块和功能。此外,可以考虑使用 Web 应用防火墙 (WAF) 来检测和阻止恶意请求。最后,定期监控 CubeCart 的日志文件,以查找任何可疑活动。升级后,请验证系统是否已成功应用补丁,并检查关键功能是否正常运行。

修复方法翻译中…

Actualice CubeCart a la versión 6.7.0 o superior para mitigar la vulnerabilidad de inyección de plantillas del lado del servidor (SSTI). Esta actualización corrige la forma en que se evalúan las plantillas Smarty, evitando la ejecución de comandos arbitrarios en el sistema.

常见问题

什么是 CVE-2026-45714 — RCE in CubeCart v6?

CVE-2026-45714 是 CubeCart v6 中发现的远程代码执行 (RCE) 漏洞,由于服务器端模板注入 (SSTI) 导致。攻击者可以利用此漏洞在服务器上执行任意代码。

我是否受到 CVE-2026-45714 in CubeCart v6 的影响?

如果您正在运行 CubeCart v6 的 6.0.0 到 6.7.0 之前的版本,则可能受到此漏洞的影响。请立即升级到 6.7.0 版本。

我如何修复 CVE-2026-45714 in CubeCart v6?

修复此漏洞的最佳方法是立即将 CubeCart 升级到 6.7.0 版本。如果无法立即升级,请参考缓解措施,例如限制管理员权限和使用 WAF。

CVE-2026-45714 是否正在被积极利用?

目前尚未观察到大规模的利用活动,但由于漏洞的严重性,预计未来可能会出现。建议密切关注安全社区的动态。

在哪里可以找到 CubeCart 官方关于 CVE-2026-45714 的公告?

请访问 CubeCart 官方网站或安全公告页面,查找有关 CVE-2026-45714 的官方公告和补丁信息。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE
live免费扫描

立即试用 — 无需账户

上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...