OpenKM 6.3.12 远程代码执行漏洞 漏洞概述 OpenKM 6.3.12 存在一个远程代码执行漏洞,允许经过身份验证的管理员通过 端点执行任意 Java/BeanShell 代码。攻击者可以提交带有 参数的恶意脚本内容,以 OpenKM 应用服务器的上下文执行操作系统命令。 影响范围 OpenKM Community Edition <= 6.3.12 OpenKM Professional Edition <= 7.1.47 修复方案 升级到 OpenKM 6.3.13 或更高版本。 升级到 OpenKM 7.1.48 或更高版本。 参考链接 ExploitDB 官方产品主页 产品参考 漏洞公告 概念验证工具 Nuclei 检测模板 信用 Terra System Labs Pvt. Ltd. 描述 OpenKM 6.3.12 包含一个远程代码执行漏洞,允许经过身份验证的管理员通过 端点执行任意 Java/BeanShell 代码。攻击者可以提交带有 参数的恶意脚本内容,以 OpenKM 应用服务器的上下文执行操作系统命令。 严重性 CVSS 评分: 8.6 CVSS 向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 发布日期 2026年5月26日 CVE 编号 CVE-2026-42785 CWE 编号 CWE-94 Improper Control of Generation of Code ('Code Injection')