关键信息摘要 漏洞概述 类型: 远程代码执行 (RCE) CVE ID: CVE-2026-25498 受影响版本及修复版本 受影响版本: - >= 5.0.0-RC1, = 4.0.0-RC1, <= 4.16.17 已修复版本: - 5.8.22 - 4.16.18 漏洞详情 漏洞描述: 该漏洞存在于 Craft CMS 中, 函数未对用户提供的配置数据进行清理,允许注入恶意的 Yii2 行为配置,执行任意系统命令。 攻击前提: - 认证: 需要管理员权限 - 网络访问: 需要访问管理面板 ( ) 漏洞位置 文件: 函数: 根本原因: 缺少对用户提供的 POST 参数的 调用 漏洞代码路径 攻击链 1. 行为注入: 攻击者在 JSON POST 参数中包含 键。 2. 对象创建: 通过 Yii2 的 进行配置处理。 3. 行为附加: Yii2 的 检测到 前缀并附加行为。 4. RCE 触发: 当 被调用时, 事件触发。 5. 命令执行: 调用配置的 方法,执行命令。 受影响的控制器 : : : : : : :