漏洞概述 CVE ID: CVE-2024-53412 漏洞类型: 命令注入 受影响组件: 中的 函数 攻击类型: 本地 影响: 远程代码执行、权限提升、信息泄露 发现者: Andrew Bukangwa — ZeroDayNexus 描述: 在 的 函数中存在命令注入漏洞。该函数通过直接拼接用户提供的输入( , , )构建 SSH 命令字符串,未进行任何验证或过滤。攻击者可以通过在 字段中注入恶意载荷,当 命令被触发时,未过滤的 值会被传递给 shell,导致任意命令执行。 影响范围 远程代码执行: 任意 shell 命令可以在主机上执行。 权限提升: 注入的命令将继承运行应用程序进程的权限。 信息泄露: 系统文件、环境变量和凭据可以被静默外泄。 完全系统控制: 提供反向 shell 载荷可以实现持久化的交互式主机访问。 修复方案 1. 强制数值类型验证: 对 字段进行严格的数值验证,拒绝非有效整数的值(范围 1-65535)。 2. 使用 : 使用离散参数而不是构建 shell 命令字符串,从而消除命令注入风险。 3. 严格白名单验证: 对所有字段( , , )进行严格的白名单验证。 POC 代码 步骤 1: 添加带有恶意 值的购物车项 在提示输入 时,注入以下载荷: 步骤 2: 触发 命令 选择刚刚添加的条目(例如,输入 选择第 0 项)。 步骤 3: 观察命令执行 这确认了任意命令在运行进程的上下文中执行。 载荷: 任何 shell 命令都可以替换,包括反向 shell 载荷。