漏洞概述 漏洞名称: BrowserStack Runner 0.9.5 Unauthenticated RCE via /_log HTTP Handler 严重性: 高 发布日期: 2026年6月2日 CVE编号: CVE-2026-49143 CWE编号: CWE-94 Improper Control of Generation of Code ('Code Injection') CVSS评分: 8.7 CVSS向量: CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:NVC:H/VI:H/VA:H/SC:N/NSA:N 参考链接: GitHub Security Advisory (GHSA-6vr3-7wxc-v5g5) 报告人: Christ Bouchuen 影响范围 受影响版本: BrowserStack Runner <= 0.9.5 受影响版本范围: 未定义 修复方案 描述: BrowserStack Runner 0.9.5 及以下版本存在远程代码执行漏洞。攻击者可以通过向 HTTP 处理器提交精心构造的 JSON 请求体,利用 和 执行任意代码。攻击者可以通过 访问主机进程,从而在底层系统上实现完全远程代码执行,无需任何认证。 POC代码或利用代码 页面中未提供具体的POC代码或利用代码。 总结 BrowserStack Runner 0.9.5 及以下版本存在一个高危远程代码执行漏洞,攻击者可以通过向 HTTP 处理器提交精心构造的 JSON 请求体来执行任意代码。建议尽快升级到最新版本以修复此漏洞。