【高危漏洞】CVE-2026-1202:CRMEB 身份验证绕过漏洞分析
漏洞概述
近日,安全研究人员披露了 CRMEB 系统中存在的一个身份验证绕过漏洞(CVE-2026-1202)。该漏洞存在于版本 5.6.3 及之前的 crmeb/app/api/controller/v1/LoginController.php 文件中的 appleLogin 函数。攻击者可通过操控 openId 参数实现远程身份验证绕过,从而可能非法登录系统。目前该漏洞的利用代码已公开,存在被大规模利用的风险。
漏洞详情
- CVE 编号:CVE-2026-1202
- 漏洞类型:身份验证绕过(Improper Authentication,CWE-287)
- CVSS 评分:CVSS v3.1 基础评分为 7.3(HIGH),CVSS v4.0 基础评分为 6.9(MEDIUM)
- 影响版本:CRMEB ≤ 5.6.3
影响范围
所有使用 CRMEB 开源商城系统且版本在 5.6.3 及以下的部署环境均受此漏洞影响,特别是启用了 Apple 登录功能的实例。
风险分析
由于该漏洞允许未经身份验证的远程攻击者通过构造恶意请求绕过正常登录流程,可能导致以下风险:
- 未授权访问用户账户
- 数据泄露(如用户个人信息、订单记录等)
- 进一步横向移动或权限提升(取决于系统配置)
鉴于漏洞利用代码已公开,且无需用户交互、攻击复杂度低,实际被利用的可能性较高。
修复建议
- 立即升级至 CRMEB 官方发布的最新安全版本(若已发布);
- 如暂无法升级,建议临时禁用 Apple 登录接口(
/api/v1/login/appleLogin)或在 Web 应用防火墙(WAF)中添加规则,拦截对openId参数的异常请求; - 监控系统日志,排查是否存在异常登录行为。
