Redaxo备份插件路径遍历漏洞CVE-2026-21857

REDAXO 是源于德国、基于 PHP/MySQL 的开源 CMS，以极简易用、模块化架构与灵活扩展为核心，主打 “内容与布局分离” 编辑体验。

一、基本情况

REDAXO 是一款极简 + 灵活的基于 PHP 的开源的内容管理系统，核心优势在于编辑友好、开发灵活、模块化扩展与多语言/多域名适配。

REDAXO 适合从个人站点到大型企业门户的各类 Web 项目，采用 MIT 开源许可，快速构建从企业站到电商 / 信息系统的各类 Web 应用。

栋科技漏洞库关注到在版本 5.20.2 之前的 REDAXO 中存在一个安全漏洞，该漏洞现已被追踪为CVE-2026-21857，CVSS 4.0评分为8.3。

二、漏洞分析

CVE-2026-21857漏洞是 Redaxo 受影响版本的备份插件中存在路径遍历漏洞，该漏洞评分较高，建议受影响用户尽快更新版本修复漏洞。

该漏洞可导致具有备份权限的已认证用户可以通过备份插件的文件导出功能中的路径遍历，从而能够读取到Wepoot目录下的任意文件。

具体来说，该漏洞源于备份插件不会根据用户界面（UI）生成的允许目录白名单来验证EXPDIR POST参数。

攻击者可以提供包含“../”序列的相对路径（甚至是文档根目录内的绝对路径），以将任何可读文件包含在生成的.tar.gz归档文件中。

易受攻击的代码：

redaxo/src/addons/backup/pages/export.php（第72-76行） - 直接使用了$_POST['EXPDIR']

redaxo/src/addons/backup/lib/backup.php（第~413行和~427行）——将未经过滤的用户输入与基路径拼接在一起

这允许公开敏感文件，例如：

redaxo/data/core/config.yml → 数据库凭据 + 所有后端用户的密码哈希值

.env文件、自定义配置文件、日志文件、上传的恶意文件等。

三、POC概念验证 - 提取数据库凭据和密码哈希

1、以任何具有备份权限的用户身份登录

2、前往Backup → Export → Files

3、使用Burp Suite拦截请求

管理员已设置登录后刷新可查看

4、将EXPDIR[]中的一个值更改为。./../../../var/www/html/redaxo/data/core

管理员已设置登录后刷新可查看

5、发送请求 → 下载存档文件

6、提取并打开data/core/config.yml文件

7、结果：明文数据库密码

8、影响

REDAXO安装的完全妥协：

数据库接管

密码哈希extraction → offline cracking → admin access

当与其他漏洞结合时 → 远程代码执行（RCE）

四、影响范围

redaxo <= 5.20.1

五、解决建议

redaxo >= 5.20.2

六、参考链接

管理员已设置登录后刷新可查看