漏洞概述 CVE-2026-30761: 在 SourceBans Material Admin 中通过文件上传实现远程代码执行。 产品: SourceBans Material Admin 版本: < 1.1.6@fb18342 受影响组件: 漏洞类型: 不受限制的文件上传(CWE-434) CVE ID: CVE-2026-30761 发现日期: 2025年10月29日 报告者: ng-dst 状态: 已修复 CVSS v3.1: 8.8 (High) 向量: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 影响范围 远程代码执行: 通过上传的 PHP shell 执行任意代码。 站点完整性损失: 修改应用程序文件,启用持久后门或恶意页面。 数据泄露: 访问本地文件、环境秘密、数据库和 RCON 凭证。 游戏服务器妥协: 通过 RCON 控制台控制连接的游戏服务器。 横向移动: 使用获得的凭证或秘密访问网络中的其他服务或主机。 修复方案 从供应商仓库更新 SourceBans Material Admin(stable-dev)。 如果无法更新,临时禁用 页面或手动修补。 技术细节 上传处理程序仅检查上传文件的报告 Content-Type 和 PHP 上传错误代码: 该检查依赖于客户端提供的头信息,可以轻松伪造,因此非 JPEG 文件可以通过验证。 上传的文件直接保存到可访问的 目录中,使用原始文件名,没有内容验证、扩展名限制或消毒。 参考链接 GitHub 提交 GitHub 提交 SB-MaterialAdmin/Web374 GitHub Gist