【高危漏洞】CVE-2026-23836:HotCRP 公式功能存在远程代码执行漏洞
漏洞概述
HotCRP 是一款广泛用于学术会议论文评审的开源软件。根据 CVE 官方通报,该软件在 2024 年 4 月发布的 3.1 版本中引入了一个严重安全问题:公式(formula)功能生成的代码未经过充分的输入过滤与转义,导致攻击者可构造恶意输入,触发任意 PHP 代码执行。该漏洞已在 HotCRP 3.2 版本中修复。
漏洞详情
- CVE 编号:CVE-2026-23836
- 漏洞类型:输入验证不恰当(CWE-20)
- CVSS 评分:9.9(CRITICAL)
- 影响版本:HotCRP 3.1(2024 年 4 月引入)
影响范围
所有部署了 HotCRP 3.1 版本的系统均受此漏洞影响。该版本中的公式功能允许用户自定义表达式,但由于后端代码生成过程中缺乏对用户输入的有效净化,导致可被利用执行任意 PHP 代码。
风险分析
由于该漏洞的攻击向量为网络(AV:N),攻击复杂度低(AC:L),且仅需低权限账户(PR:L)即可触发,无需用户交互(UI:N),一旦被利用,攻击者可在目标服务器上执行任意代码,完全控制应用系统,造成数据泄露、服务中断或进一步内网渗透等严重后果。CVSS 评分为 9.9(Critical),属于极高危漏洞。
修复建议
- 立即升级至 HotCRP 3.2 或更高版本,该版本已包含官方修复补丁。
- 如暂时无法升级,建议禁用或限制非信任用户对“公式”功能的访问权限,并对所有用户输入进行严格过滤与日志监控。
