CVE-2026-1112：三峦PublicCMS中的授权不当漏洞深度解析

严重性： 中等

类型： 漏洞

CVE编号： CVE-2026-1112

漏洞描述

在三峦 PublicCMS（版本5.202506.d及之前）中发现了一个漏洞。受影响的组件是贸易地址删除端点，具体位于文件 publiccms-trade/src/main/java/com/publiccms/controller/web/trade/TradeAddressController.java 中的 delete 函数。对参数 ids 进行操纵会导致授权不当。攻击可以远程发起。漏洞利用代码已公开，并可能被使用。供应商很早就收到了此披露通知，但未作出任何回应。

AI分析技术总结

CVE-2026-1112 是在三峦 PublicCMS 中发现的一个授权不当漏洞，具体影响版本至 5.202506.d。该缺陷存在于 TradeAddressController.java 文件中实现的贸易地址删除端点的 'delete' 函数中。通过操纵 'ids' 参数，攻击者可以在没有适当授权检查的情况下，远程调用贸易地址记录的删除操作。这种访问控制绕过允许未经授权的用户删除关键的贸易地址数据，可能破坏依赖准确贸易信息的业务运营。该漏洞无需认证或用户交互，通过网络即可远程利用，攻击复杂度低。CVSS 4.0 评分为 5.3，反映了中等严重性，考量了对数据完整性和可用性的影响，以及无需权限或交互的特性。供应商虽已提前收到通知，但尚未发布补丁或作出回应。虽然尚未观察到活跃的攻击利用，但公开的漏洞利用代码增加了未来遭受攻击的风险。对于使用 PublicCMS 管理贸易或电子商务数据的组织，此漏洞尤其令人担忧，因为未经授权的删除可能导致运营中断、数据丢失和潜在的合规问题。

潜在影响

对于欧洲的组织，PublicCMS 中的授权不当漏洞可能导致贸易地址数据被未经授权地删除，影响数据完整性和可用性。这可能扰乱订单处理、物流和客户关系管理，尤其是依赖 PublicCMS 进行电子商务或贸易运营的企业。贸易地址信息的丢失或篡改可能导致发货错误、财务损失和客户信任受损。此外，如果数据完整性受到损害，受 GDPR 等数据保护法规约束的组织可能面临合规风险。漏洞利用的远程且无需认证的特性增加了广泛攻击的风险，特别是针对公开可访问的 CMS 实例。运营停机时间和恢复成本可能很高，尤其是在备份不及时或不全面的情况下。缺乏供应商响应使得修复工作复杂化，可能延长暴露时间并增加风险。

缓解建议

鉴于官方补丁尚未发布，欧洲组织应立即实施补偿性控制措施。这包括通过防火墙规则或 Web 应用防火墙 (WAF) 限制对 PublicCMS 贸易地址删除端点的网络访问，以将暴露范围限制在受信任的 IP 地址。对删除请求实施严格的监控和告警，以检测异常活动。如果可能，采用应用层访问控制或反向代理在外部执行授权检查。定期备份贸易地址数据并验证备份完整性，以便在发生未经授权的删除时能够快速恢复。如果业务流程允许，可考虑临时禁用易受攻击的删除功能。进行主动的威胁狩猎和日志分析，以识别任何攻击企图。组织还应与供应商保持沟通渠道，并监控未来的任何补丁或公告。最后，对内部团队进行有关此漏洞的教育，以确保在检测到攻击时能够快速做出事件响应。

受影响国家

德国、法国、英国、荷兰、意大利、西班牙

来源： CVE Database V5

发布日期： 2026年1月18日 星期日

aeYFGlNGPch5/i0AskAWpmMVXj3lzK9JFM/1O1GWF7BlMzdwt74d0Yqjdw1OnD5/hwT8mYrEdB7caHvAlfOsZvnNng+zZabDfEJm9poWMMX1vfXwj5Dg8rJlrT5i449Y