📋 漏洞概述

phpVMS 7.0.6之前版本存在未授权访问遗留导入功能漏洞，攻击者可无需认证利用此功能实现远程代码执行。

📋 基础信息

🔬 漏洞根因

phpVMS在遗留导入功能（legacy import feature）中缺乏有效的身份验证权限检查。该功能可能用于导入航班、乘客或系统配置，但未对访问者身份进行校验，或使用硬编码/可预测的密钥绕过认证（推测：PHP会话验证缺失或权限中间件未覆盖该路由）。攻击者可通过直接访问该功能入口（如/index.php?import=legacy）触发后续逻辑，而无需提供任何凭证。

🎯 攻击场景

1. 攻击者扫描发现目标站点运行phpVMS版本低于7.0.6； 2. 识别到遗留导入功能的公开入口，例如/admin/import/legacy 或 /legacy_import.php； 3. 构造特制HTTP请求，利用未认证的导入功能提交恶意数据（如CSV、XML或序列化payload）； 4. 该功能在处理导入数据时未充分过滤，允许写入系统配置文件或触发PHP对象注入（推测）； 5. 攻击者通过写入的webshell或执行的系统命令完全控制服务器，实现远程代码执行。

💥 漏洞影响

攻击者可在无需任何账户认证的情况下，通过利用遗留导入功能直接实现远程代码执行，进而完全控制phpVMS服务器，窃取数据库中的用户敏感信息（如密码hash、个人数据）、篡改航班模拟数据，并可能以此为跳板攻击内网其他系统。

🛡️ 修复建议

立即升级phpVMS至7.0.6或更高版本；作为临时缓解措施，在Web服务器层面（如.htaccess、Nginx配置）禁用对遗留导入功能对应路由的访问，或删除/重命名相关脚本文件，并检查服务器中是否存在可疑导入文件。

📎 参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2026-42569
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-42569
• 原始来源（NVD-Latest）

⚠️ 本文由漏洞情报系统自动生成，仅供安全研究与防御参考。生成时间: 2026-05-11 08:03 | 来源: NVD-Latest