Winter CMS 权限提升漏洞CVE-2026-27591

Winter CMS 是一款基于 Laravel PHP 框架的免费、开源、自托管内容管理系统，采用 MIT 开源协议，由 Frostbyte 基金会与社区维护。

一、基本情况

Winter CMS 是一个基于 Laravel PHP 框架的开源内容管理系统，系统核心目标是简化开发流程、兼顾开发者灵活性与终端用户易用性。

Winter CMS 采用模块化设计，核由三大模块构成：ystem 模块（必需）、 Backend 模块（核心）、 CMS 模块（前端），可按需使用。

栋科技漏洞库关注到 Winter CMS 多个版本中存在的权限提升漏洞，该漏洞现已被追踪为CVE-2026-27591，漏洞的CVSS 3.1评分9.9。

二、漏洞分析

CVE-2026-27591是存在于Winter CMS 多个版本因后端权限控制逻辑导致的权限提升漏洞，利用门槛极低，低权限账户即可发起攻击。

漏洞由两处核心代码缺陷共同导致，本质是权限校验缺失与用户可控数据滥用：

（1）用户模型权限校验缺失

后台用户模型（modules/backend/models/User.php）虽通过$guarded声明role_id、is_superuser等敏感字段受保护，

但该防护仅针对 Eloquent ORM 的批量赋值场景。

当控制器通过直接赋值方式修改这些字段并调用save()时，缺少beforeSave()授权钩子进行权限校验，系统直接将恶意数据写入数据库。

攻击者可在请求体中注入参数，

如user[role_id]=1、user[is_superuser]=1、user[permissions][backend.manage_users]=1，直接给自己提权为超级管理员。

（2）表单上下文用户可控（CWE-639）

后台表单控制器行为（modules/backend/behaviors/FormController.php）的formGetContext()方法，

直接读取 HTTP POST 参数form_context的值来决定表单上下文，未做安全校验。

攻击者可通过篡改form_context参数，绕过正常的表单权限限制，触发上述用户模型的未授权修改逻辑。

因此，这意味着攻击者只需拥有任意访问级别的后台用户账户即可将普通后端账户权限提升至系统管理员级别，获取系统完全控制权。

三、攻击流程

（1）利用条件

攻击者需拥有任意权限级别的后台账户（普通编辑、作者等低权限账户即可）

无需额外交互，仅需发送构造好的 HTTP 请求即可完成攻击。

（2）攻击流程

攻击者登录 Winter CMS 后台，获取有效会话。

构造包含恶意权限参数的 POST 请求，发送至用户信息编辑接口。

系统因缺少权限校验，直接保存攻击者提交的高权限配置。

攻击者账户权限被提升为超级管理员，获得系统完全控制权。

四、影响范围

Winter CMS < 1.0.477

Winter CMS < 1.2.12

Winter CMS < 1.1.12

五、修复建议

Winter CMS > 1.0.477

Winter CMS > 1.2.12

Winter CMS > 1.1.12

六、参考链接

管理员已设置登录后刷新可查看