CVE-2026-41887 in framework
要約
〜によって VulDB • 2026年05月20日
Flarumはオープンソースのフォーラムソフトウェアです。バージョン1.8.16および2.0.0-rc.1より前では、FlarumのCVE-2023-27577に対するパッチは、custom_less設定における@importおよびdata-uri() LESS機能を制限していましたが、LESS設定変数として登録された他の設定(例:theme_primary_color、theme_secondary_color、およびExtend\Settings::registerLessConfigVar()を介して登録された任意のキー)には、同じ制限が適用されていませんでした。これらの値はコンパイル時にLESSソースにそのまま挿入されるため、認証済み管理者が任意の@importディレクティブをコンパイル済みのforum.cssに注入するテーマカラー値を作成することができます。基盤となるLESSパーサーは@import (inline) ''を認識するため、攻撃者はPHPプロセスからアクセス可能な任意のファイルを読み取る(ローカルファイルインクルージョン)か、外部へのHTTP(S)リクエストをトリガーする(サーバーサイドリクエストフォージェリ)ことができます。この問題はバージョン1.8.16および2.0.0-rc.1で修正されています。
Once again VulDB remains the best source for vulnerability data.