Concrete CMS 路径遍历导致远程代码执行漏洞分析 (CVE-2021-40097)<\/h1>

漏洞概述<\/h2>
CVE-2021-40097 是 Concrete CMS 中存在的一个认证后的路径遍历漏洞，最终导致远程代码执行。该漏洞允许经过认证的攻击者通过路径遍历技术包含任意文件，当包含恶意构造的 PHP 文件时，可实现远程代码执行。<\/p>

漏洞原理<\/h2>
漏洞的核心在于 Concrete CMS 在处理布局设计时，未能正确过滤 `bFilename<\/code> 参数，导致攻击者可以通过路径遍历 (..\/..\/<\/code>) 技术包含系统上的任意文件。结合上传功能，攻击者可上传包含恶意代码的文件，然后通过路径遍历包含该文件，从而实现远程代码执行。<\/p>`

漏洞复现步骤<\/h2>
1. 前提条件<\/h3>

拥有 Concrete CMS 后台的有效凭证<\/li>
具备上传文件权限（通常需要管理员权限）<\/li>
<\/ul>
2. 漏洞利用流程<\/h3>


上传恶意文件<\/strong>：<\/p>

通过后台任意文件上传功能上传一个包含 PHP 代码的文件（可以伪装成图片文件）<\/li>
获取上传后的文件路径<\/li>
<\/ul>
<\/li>

修改布局设计<\/strong>：<\/p>

访问布局设计功能<\/li>
使用抓包工具拦截 save layout design<\/code> 请求<\/li>
修改请求中的 bFilename<\/code> 参数，使用路径遍历技术指向上传的恶意文件（如 ..\/..\/uploads\/evil.php<\/code>）<\/li>
<\/ul>
<\/li>

触发文件包含<\/strong>：<\/p>

访问特定页面触发包含操作<\/li>
恶意 PHP 代码将被执行<\/li>
<\/ul>
<\/li>
<\/ol>
代码分析<\/h2>
1. 漏洞入口点<\/h3>
漏洞始于 concrete\/controllers\/dialog\/block\/design.php<\/code> 文件的 submit()<\/code> 方法：<\/p>
public<\/span> function<\/span> submit<\/span>()
<\/span><\/span>{
<\/span><\/span>    \/\/ 鉴权检查
<\/span><\/span><\/span><\/span>    if<\/span> (!<\/span>$this-><\/span>canAccess<\/span>()) {
<\/span><\/span>        throw<\/span> new<\/span> ForbiddenBootstrapException<\/span>(t<\/span>('Access Denied.'<\/span>));
<\/span><\/span>    }
<\/span><\/span>    
<\/span><\/span>    \/\/ 获取请求参数
<\/span><\/span><\/span><\/span>    $data =<\/span> $this-><\/span>request<\/span>-><\/span>request<\/span>-><\/span>all<\/span>();
<\/span><\/span>    
<\/span><\/span>    \/\/ 将 bFilename 存入数据库
<\/span><\/span><\/span><\/span>    $this-><\/span>updateBlockInformation<\/span>($data);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>2. 数据库操作<\/h3>
bFilename<\/code> 参数被存入数据库的 Blocks<\/code> 表中，通过 updateBlockInformation()<\/code> 方法实现：<\/p>
protected<\/span> function<\/span> updateBlockInformation<\/span>($data)
<\/span><\/span>{
<\/span><\/span>    $bID =<\/span> $this-><\/span>request<\/span>-><\/span>request<\/span>-><\/span>get<\/span>('bID'<\/span>);
<\/span><\/span>    \/\/ 更新数据库操作
<\/span><\/span><\/span><\/span>    \/\/ ...
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre>3. 渲染过程触发漏洞<\/h3>
当访问页面时，系统会执行以下流程：<\/p>


请求处理<\/strong>：<\/p>

concrete\/src\/Http\/Middleware\/DispatcherDelegate.php<\/code> 处理请求<\/li>
concrete\/src\/Http\/DefaultDispatcher.php<\/code> 进一步处理<\/li>
<\/ul>
<\/li>

页面加载<\/strong>：<\/p>

concrete\/src\/Page\/Page.php<\/code> 的 getFromRequest()<\/code> 方法执行数据库查询获取页面信息：
$row =<\/span> $db-><\/span>fetchAssoc<\/span>('select pp.cID, ppIsCanonical from PagePaths pp 
<\/span><\/span><\/span>                      inner join Pages p on pp.cID = p.cID 
<\/span><\/span><\/span>                      where cPath = ? and siteTreeID in ('<\/span> .<\/span> $treeIDs .<\/span> ')'<\/span>, [$path]);
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
<\/li>

区块加载<\/strong>：<\/p>

concrete\/src\/Area\/Area.php<\/code> 的 getBlocks()<\/code> 方法加载区块：
$ab =<\/span> Block<\/span>::<\/span>getByID<\/span>($row['bID'<\/span>], $this, $row['arHandle'<\/span>]);
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
<\/li>

文件包含<\/strong>：<\/p>

concrete\/src\/Block\/Block.php<\/code> 的 getByID()<\/code> 方法执行查询获取 bFilename<\/code>：
$q =<\/span> 'select ... bFilename ... from CollectionVersionBlocks 
<\/span><\/span><\/span>      inner join Blocks on (CollectionVersionBlocks.bID = Blocks.bID) 
<\/span><\/span><\/span>      inner join BlockTypes on (Blocks.btID = BlockTypes.btID) 
<\/span><\/span><\/span>      where ...'<\/span>;
<\/span><\/span><\/code><\/pre><\/li>
最终在 BlockView<\/code> 的 renderViewContents()<\/code> 方法中包含文件：
include<\/span>($this-><\/span>template<\/span>);
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
<\/li>
<\/ol>
4. 路径遍历关键点<\/h3>
在 BlockView<\/code> 类的文件路径处理中，系统未对 bFilename<\/code> 进行路径规范化检查，导致可以包含任意路径的文件：<\/p>
\/\/ 在 BlockView 类中
<\/span><\/span><\/span><\/span>public<\/span> function<\/span> setupRender<\/span>()
<\/span><\/span>{
<\/span><\/span>    $this-><\/span>template<\/span> =<\/span> $this-><\/span>block<\/span>-><\/span>getBlockFilename<\/span>();
<\/span><\/span>    \/\/ 没有对路径进行安全检查
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre>漏洞修复建议<\/h2>


输入验证<\/strong>：<\/p>

对 bFilename<\/code> 参数进行严格验证，禁止路径遍历字符 (..\/<\/code>)<\/li>
限制文件路径必须在特定目录下<\/li>
<\/ul>
<\/li>

文件包含安全<\/strong>：<\/p>

实现安全的文件包含机制，限制可包含的文件类型和位置<\/li>
使用白名单验证包含的文件<\/li>
<\/ul>
<\/li>

权限控制<\/strong>：<\/p>

加强文件上传功能的权限控制<\/li>
实现上传文件的内容检查<\/li>
<\/ul>
<\/li>
<\/ol>
总结<\/h2>
CVE-2021-40097 漏洞展示了文件包含漏洞的典型利用方式，通过路径遍历技术结合文件上传功能实现远程代码执行。该漏洞的利用需要管理员权限，但一旦成功利用，攻击者可以完全控制目标系统。开发人员在实现文件包含功能时应特别注意路径处理和输入验证，避免此类安全问题。<\/p>

Concrete CMS 路径遍历导致远程代码执行漏洞分析 (CVE-2021-40097)<\/h1>

漏洞概述<\/h2> CVE-2021-40097 是 Concrete CMS 中存在的一个认证后的路径遍历漏洞，最终导致远程代码执行。该漏洞允许经过认证的攻击者通过路径遍历技术包含任意文件，当包含恶意构造的 PHP 文件时，可实现远程代码执行。<\/p>

代码分析<\/h2>

漏洞概述<\/h2>
CVE-2021-40097 是 Concrete CMS 中存在的一个认证后的路径遍历漏洞，最终导致远程代码执行。该漏洞允许经过认证的攻击者通过路径遍历技术包含任意文件，当包含恶意构造的 PHP 文件时，可实现远程代码执行。<\/p>