由于传播、利用本公众号船山信安所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号船山信安及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!phpVMS是一款用于运行和模拟航空公司的PHP应用程序。在7.0.6版本之前,系统存在一个严重的未授权访问漏洞。由于遗留的导入功能缺乏有效的身份验证机制,未经身份验证的远程攻击者可以直接访问该功能。攻击者利用此漏洞可导致系统数据完整性受损或服务不可用,风险极高。官方已在7.0.6及更高版本中修复此问题。 该漏洞出现在phpVMS旧版本遗留的导入功能模块中。开发者在更新代码时遗弃了该导入接口,但未在路由层或控制器层添加必要的权限校验中间件。攻击者可以通过构造特定的HTTP请求,直接向该遗留接口发送数据。由于CVSS向量显示完整性影响为高(I:H)且可用性影响为高(A:H),推测该接口可能允许导入恶意构造的数据文件,导致数据库被篡改或系统资源耗尽。攻击无需用户交互(UI:N)且攻击复杂度低(AC:L),极易被自动化脚本利用。app="phpVMS"
升级服务器版本并应用安全补丁。如果无法立即升级,建议在服务器层面(如Nginx/Apache)配置访问控制规则,直接拦截对/legacy或/import相关路径的外部请求,或者暂时关闭Web服务直至完成修复。https://www.ipbuf.com/static/cve/2026/CVE-2026-42569_zh.html