发布日期：2026-02-09
更新日期：2026-04-07

受影响系统：

my little forum my little forum < 20260208.1

描述：

---

CVE(CAN) ID: CVE-2026-25923

my little forum是My Little Forum开源的一套基于PHP和MySQL的在线论坛系统。
my little forum 20260208.1之前版本存在不受信数据反序列化漏洞，该漏洞源于未能在URL验证中过滤phar://协议，攻击者可利用该漏洞通过图片上传功能上传恶意的Phar多语言文件，并通过BBCode的[img]标签处理触发Phar反序列化，进而利用Smarty 4.1.0的POP链实现任意文件删除。

<*链接：https://github.com/My-Little-Forum/mylittleforum/security/advisories/GHSA-wr9p-3c3g-78fw
*>

建议：

---

厂商补丁：

my little forum
---------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/My-Little-Forum/mylittleforum/security/advisories/GHSA-wr9p-3c3g-78fw

浏览次数：87
严重程度：0（网友投票）