Astroid Framework远程代码执行CVE-2026-21628

Astroid Framework 是由TemPlaza开发、专为Joomla 4/5/6 打造的开源模板框架，基于Bootstrap 5构建的内容管理系统模板开发框架。

一、基本情况

Astroid Framework主打可视化拖拽、高度自定义、响应式与性能优化，主打开源和免费，是Joomla生态中最主流的模板开发框架之一。

Astroid Framework 是 Joomla 生态现代化模板开发利器，从而大幅降低Joomla网站开发门槛，适合从个人博客到企业官网的各类场景。

栋科技漏洞库关注到 Astroid Framework 受影响版本中未授权文件上传导致RCE漏洞，追踪为CVE-2026-21628，CVSS 4.0评分10分。

二、漏洞分析

CVE-2026-21628漏洞是位于 Astroid Framework 受影响版本中的远程代码执行漏洞，该漏洞源于未能对上传文件的用户身份进行校验。

具体而言，漏洞源于该框架的文件管理功能存在安全缺陷，未能对上传文件的用户身份进行校验，且未对上传文件类型实施严格过滤。

该漏洞使得远程未经身份验证的攻击者可以上传恶意的 PHP 脚本文件。

由于上传路径通常可被直接访问，攻击者可通过调用这些脚本在服务器上执行任意系统命令，从而完全控制目标系统。

三、影响范围

Astroid Framework <= 3.3.11

四、修复建议

Astroid Framework >= 3.3.12

五、参考链接

管理员已设置登录后刷新可查看