漏洞总结:Authenticated RCE via 'editor/code/save' Override 1. 漏洞概述 漏洞名称:Authenticated RCE via 'editor/code/save' Override CVE ID:CVE-2024-41934 严重程度:Critical (严重) 受影响版本: 漏洞总结:Authenticated RCE via 'editor/code/save' Override 1. 漏洞概述 漏洞名称:Authenticated RCE via 'editor/code/save' Override CVE ID:CVE-2024-41934 严重程度:Critical (严重) 受影响版本:<= 1.08.1 修复版本:1.08.2 漏洞原理: Vvveb 后台的 接口存在逻辑缺陷。虽然控制器限制了文件扩展名(仅允许 和 ),但攻击者可以通过以下链式攻击实现远程代码执行: 1. 写入 :利用 Apache 的 配置,攻击者(拥有 及以上权限)可以上传一个 文件到 目录。 2. 重写规则:在 中设置规则,将任意图片文件(如 )映射为 PHP 执行。 3. 上传恶意代码:再次利用该接口,将包含 PHP 代码的图片文件(如 )上传到 。 4. 触发执行:通过浏览器访问该图片 URL,Apache 会将其作为 PHP 脚本执行,从而导致 RCE。 2. 影响范围 受影响角色:拥有 、 、 或 权限的用户。 影响后果: 完全服务器沦陷:低权限用户可执行任意代码。 权限提升:可修改数据库中的 密码,提升为超级管理员。 持久化:可上传后门脚本,即使应用更新也可能存活。 匿名触发:最终执行步骤无需登录即可触发。 3. 修复方案 官方补丁:升级至版本 1.08.2。 临时缓解措施(Operator-side): 1. 修改 Apache 配置,将 和 的 设置为 。 2. 在代码层面限制 、 、 、 角色的权限,移除其文件写入权限。 4. 概念验证 (POC) 代码 步骤 1:上传 文件 步骤 2:上传包含恶意代码的图片文件 (注:此处需配合 Burp Suite 修改请求体,将图片内容替换为 PHP 代码,例如 ) 步骤 3:触发执行(匿名访问) 预期响应: ```http HTTP/1.1 200 OK ... RCE_OK_Linux 3fc8ca5554d 6.12.54-Linuxkit #1 SMP Thu Nov 21 21:47 UTC 2025 aarch64 uid=33(www-data) gid=33(www-data) gid=33(www-data)