关键信息 漏洞概述 漏洞名称: Shell Commands Can Spawn Other Commands CVE ID: CVE-2021-32003 严重性: 高 (CVSS v3.0: 8.1/10) 受影响版本: 2.32.0 修复版本: 无 影响 描述: Filebrowser 的命令执行功能仅允许执行用户特定的预定义 shell 命令。然而,许多 Linux 命令允许执行任意不同的子命令,这使得限制无效。 具体影响: 攻击者可以利用此漏洞执行任意代码,具有与服务器进程相同的权限。 漏洞描述 问题: 许多 Linux 命令允许执行任意不同的子命令,例如 、 、 等。 前提条件: 攻击者需要具有“Execute Commands”权限和一些允许的命令。 概念验证 示例: 使用 可以向外部服务器发起网络请求。 推荐的缓解措施 禁用 命令: 在所有账户中完全禁用 命令。 使用 : 在执行任何命令之前使用 防止执行子命令。 时间线 2020-08-29: 在版本 2.32.0 中发现漏洞。 2020-08-29: 向项目 GitHub 存储库发布建议。 2020-08-25: CVE 分配给 GitHub。 2020-08-25: 已推送补丁以禁用该功能,并使其成为可选功能。 参考资料 prlimit Distrowless 容器镜像 致谢 Mathias Tausig (@SA Research)