文章总结： 本文剖析osTicketCVE-2026-22200漏洞，攻击者可利用PHP过滤器链注入将任意文件伪装为PDF中的位图图像实现文件读取，窃取配置凭据。结合CNEXT漏洞可进一步达成远程代码执行。官方已发布1.18.3及1.17.7修复版本，建议立即升级以防御潜在风险。 综合评分： 92 文章分类： 漏洞分析,WEB安全,漏洞POC,应急响应

触发CNEXT载荷后得到Web Shell

AI辅助漏洞利用测试

端到端的漏洞利用序列较为复杂，虽然研究团队可以自行编写一键式利用脚本，但他们很好奇，配备Opus 4.5的Claude Code能否自行将这些步骤组合起来。他们针对运行默认配置的osTicket设置了一场CTF挑战，并在根目录放置了一个随机生成的标志文件。他们向Claude提供了漏洞描述和本报告中概述的步骤提示，并指示Claude仅在需要访问电子邮件时才寻求帮助。

向AI（Claude）提供漏洞利用提示

不到10分钟，Claude就成功完成了挑战，仅在注册账户后需要确认邮件内容时才寻求了一次帮助。

AI成功执行漏洞利用链

修复建议

如果正在运行面向互联网的osTicket实例，应立即更新至最新的osTicket版本 1.18.3 / 1.17.7或更高版本。该补丁通过在调用mPDF之前禁用PHP流包装器来解决CVE-2026-22200。如果在Linux服务器上运行osTicket，还建议检查服务器是否存在CVE-2024-2961并进行修补，该漏洞影响glibc版本 <= 2.39。

如果无法立即打补丁，以下缓解措施有助于阻止匿名攻击者的利用：

• 实施网络或主机防火墙规则，限制对osTicket服务器的访问。
• 在管理员面板 -> 用户选项卡中更新osTicket配置，禁用公共用户的自助注册。
• 在管理员面板 -> 用户选项卡中更新osTicket配置，要求用户注册和登录才能提交工单。
• 在管理员面板 -> 系统选项卡中更新osTicket配置，禁用线程条目和电子邮件通信中的HTML。

漏洞检测

研究团队提供了一个检测脚本check.py，可用于判断是否在运行过时的osTicket版本。该脚本不直接测试漏洞利用，而是检查1.18.3 / 1.17.7更新中包含的其他变化。

运行漏洞检测检查脚本

入侵指标

以下迹象表明系统可能已遭到利用：

• Web服务器访问日志中包含大量对/login.php端点的GET和POST请求，表明可能存在暴力破解工单访问权限的尝试，通常伴有类似python-requests的可疑用户代理。
• 创建工单或注册账户的数量异常高于正常水平。
• Web服务器访问日志条目中包含大量用于将工单打印为PDF的GET请求，例如GET /tickets.php?a=print&id=140。
• Web服务器访问日志条目中包含路径很长、并带有PHP过滤器载荷的GET请求，载荷中含有php%3a//和convert.iconv等字符串，通常导致“414 URI过长”错误。
• osTicket应用程序的Web根目录中存在Web Shell PHP脚本。

披露时间线

• 2025年8月28日： Horizon3.ai通过邮件向EnhanceSoft报告PDF文件读取问题，并附带关于90天披露政策的声明。
• 2025年8月29日： EnhanceSoft确认收到报告。
• 2025年9月3日： Horizon3.ai报告PDF文件读取问题在与CNEXT结合利用时可导致远程代码执行。同时披露了其他中/低严重性问题（存储型跨站脚本、服务器端请求伪造等）。
• 2025年9月4日： EnhanceSoft确认收到额外信息。
• 2025年9月至12月： Horizon3.ai与EnhanceSoft就补丁状态进行了多次沟通。
• 2025年1月12日： 在向供应商初次披露130多天后，Horizon3.ai公开披露CVE-2026-22200，并通知EnhanceSoft。
• 2025年1月12日至15日： EnhanceSoft确认漏洞，并与Horizon3.ai合作验证修复程序。
• 2025年1月15日： EnhanceSoft发布修补版本1.18.3 / 1.17.7。
• 2025年1月22日： 本研究报告发布。

团队像处理其他零日漏洞一样，作为其快速响应计划的一部分，通知了所有已知的受影响客户，并在NodeZero产品中添加了该漏洞的检测覆盖。

致谢与参考

感谢@_splitline_提出的web2pdf CTF挑战和巧妙的位图图像技巧，以及@cfreal_对CNEXT利用链的突破性发现。

• https://osticket.com/osticket-v1-18-3-v1-17-7-available/
• https://github.com/horizon3ai/CVE-2026-22200
• https://blog.splitline.tw/hitcon-ctf-2022/#%F0%9F%93%83-web2pdf-web
• https://blog.lexfo.fr/iconv-cve-2024-2961-p1.html
• https://github.com/ambionics/cnext-exploits/blob/main/cnext-exploit.py
• https://nvd.nist.gov/vuln/detail/cve-2026-22200
• https://nvd.nist.gov/vuln/detail/cve-2024-2961
• https://www.cve.org/CVERecord?id=CVE-2025-26241

原文：https://horizon3.ai/attack-research/attack-blogs/ticket-to-shell-exploiting-php-filters-and-cnext-in-osticket-cve-2026-22200/

• END –

感谢阅读，如果觉得还不错的话，动动手指一键三连～

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：骨哥说事 骨哥说事 骨哥说事《CVE-2026-22200：osTicket工单直通系统Shell的漏洞剖析》