CVE-2024-58302: CWE-98: PHP程序中Include/Require语句的文件名控制不当（‘PHP远程文件包含’）在Flarum FriendsofFlarum Pretty Mail中

严重性： 中等 类型： 漏洞

CVE-2024-58302 FoF Pretty Mail 1.1.2 包含一个本地文件包含漏洞，允许管理员用户在电子邮件模板中包含任意服务器文件。攻击者可以利用模板设置，通过插入文件包含载荷，在电子邮件生成过程中读取敏感的系统文件，如 /etc/passwd。

AI分析

技术总结

CVE-2024-58302是一个归类于CWE-98（PHP程序中Include/Require语句的文件名控制不当）的漏洞，影响FriendsofFlarum Pretty Mail版本1.1.2。此漏洞允许具有管理权限的攻击者通过注入文件包含载荷来利用电子邮件模板功能。该缺陷源于电子邮件模板渲染过程中，对PHP include 或 require 语句中使用的文件名验证不足。通过操纵模板设置，攻击者可以使服务器包含任意本地文件，例如 /etc/passwd，导致敏感系统信息被未经授权地披露。该漏洞不需要用户交互，可以通过网络远程利用，但确实需要Flarum论坛实例的管理员权限。CVSS 4.0评分为6.9，反映了中等严重性，原因是对机密性影响较高，但因需要提升的权限而受限。目前尚无公开的漏洞利用程序或补丁，这增加了主动缓解措施的重要性。如果与其他弱点（例如权限提升或网络内横向移动）结合，该漏洞可能被用来发动进一步攻击。

潜在影响

对于欧洲组织，特别是那些使用Flarum及Pretty Mail扩展运行社区论坛或客户支持平台的组织，此漏洞构成了敏感信息泄露的风险。具有管理权限的攻击者可以读取关键的系统文件，可能暴露存储在文件中的用户数据、系统配置或凭据。这可能导致进一步的危害，包括权限提升或网络内的横向移动。对于根据GDPR处理个人数据的组织，未经授权的披露尤其重要，因为这可能导致监管处罚和声誉损害。此外，读取任意文件的能力可能有助于针对基础设施或知识产权发起定向攻击。由于该漏洞需要管理权限，如果管理员帐户保护薄弱或通过网络钓鱼或凭据重用而受到威胁，风险就会增加。中等严重性评分反映了高机密性影响和访问要求之间的平衡，但在实践中，连锁攻击的可能性提升了威胁级别。

缓解建议

1. 将管理权限严格限制在受信任的人员，并对所有管理员帐户强制执行强身份验证机制，例如多因素身份验证（MFA）。
2. 立即审计并限制Pretty Mail扩展内的模板编辑权限，以防止未经授权的修改。
3. 对所有接受文件名或包含指令的模板字段实施输入验证和清理，以防止恶意载荷的注入。
4. 监控日志，查找可能指示利用尝试的异常模板更改或电子邮件生成活动。
5. 将Flarum应用程序服务器与关键基础设施隔离，以限制任何文件泄露的影响。
6. 定期备份配置和模板文件，以便在发生篡改时能够快速恢复。
7. 密切关注Flarum或FriendsofFlarum开发团队的官方补丁或更新，并在发布后立即应用。
8. 考虑部署具有规则的Web应用防火墙（WAF），以检测和阻止针对Pretty Mail扩展的可疑文件包含模式。
9. 对管理员进行安全意识培训，以识别可能导致凭据泄露的网络钓鱼和社会工程攻击企图。

受影响国家

德国、法国、英国、荷兰、意大利、西班牙、波兰

来源： CVE数据库 V5 发布日期： 2025年12月11日 星期四

技术详情 数据版本： 5.2 分配者简称： VulnCheck 保留日期： 2025-12-11T00:58:28.457Z Cvss版本： 4.0 状态： 已发布 威胁ID： 693b3df322246175c6a4712f 添加到数据库： 2025年12月11日，晚上9:56:03 最后丰富： 2025年12月11日，晚上10:12:52 最后更新： 2025年12月12日，上午12:21:05 浏览量： 8