安全研究

安全漏洞
PublicCMS不合理授权漏洞(CVE-2026-2010)

发布日期:2026-02-06
更新日期:2026-05-11

受影响系统:
PublicCMS PublicCMS <= 6.202506.d
PublicCMS PublicCMS <= 5.202506.d
PublicCMS PublicCMS <= 4.0.202506.d
描述:
CVE(CAN) ID: CVE-2026-2010

PublicCMS是中国PublicCMS公司的一套使用Java语言编写的开源内容管理系统(CMS)。
PublicCMS 4.0.202506.d及之前版本、5.202506.d及之前版本和6.202506.d及之前版本存在不合理授权漏洞,该漏洞源于publiccms-parent/publiccms-trade/src/main/java/com/publiccms/logic/service/trade/TradePaymentService.java文件的Paid函数在处理paymentId参数时未做严格的权限校验,未验证当前登录用户是否为该支付记录的合法所有者,攻击者可利用该漏洞越权查看其他用户的支付详情,导致敏感财务信息泄露。

<*链接:https://github.com/sanluan/PublicCMS/issues/108#issue-3838143772
*>

建议:
厂商补丁:

PublicCMS
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://github.com/sanluan/PublicCMS/commit/7329437e1288540336b1c66c114ed3363adcba02

浏览次数:177
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障