漏洞概述 漏洞名称: Vuln-1: WeChat Bot Remote Code Execution (RCE) 项目: DjangoBlog (https://github.com/liangliangyy/DjangoBlog) 版本: Latest master (commit a678ea) 日期: 2026-03-14 严重性: CRITICAL OWASP: A03:2021 - Injection CWE: CWE-78 - Improper Neutralization of Special Elements used in an OS Command 影响范围 受影响文件: - (lines 47-52) - (line 119) - (line 322) 根本原因 类通过 执行任意 OS 命令,没有输入清理。 WeChat bot 的 端点是公开可访问的,管理员密码是硬编码的 double-MD5 哈希在 中。 基于会话的锁定(3 次失败尝试)可以通过旋转 (WeChat 用户 ID)来绕过,因为每个源 ID 维护独立的尝试计数器。 漏洞代码 复现步骤 1. 确认 端点存在(403 来自 WeChatBot 签名检查,非 404) 2. 利用绕过机制执行任意命令 影响 完整服务器被入侵。攻击者可以以应用程序进程的权限执行任意系统命令。 硬编码的管理员密码和可绕过的锁定使身份验证变得简单。 推荐修复 移除 。使用带有预定义安全操作的命令白名单。 为 bot 端点要求适当的身份验证。 参考 OWASP Top 10 (2021) CWE-78: OS Command Injection Django Security Best Practices DjangoBlog 来源: https://github.com/liangliangyy/DjangoBlog