CVE-2019-25687Pegasus CMS 1.0版本中的extra_fields.php插件存在严重的远程代码执行漏洞。由于该插件使用了不安全的eval()函数处理用户输入,未经身份验证的攻击者可以通过向submit.php端点发送特制的POST请求,在action参数中注入恶意PHP代码。成功利用该漏洞可导致攻击者在服务器上任意执行命令,获取交互式Shell,从而完全控制受害系统。该漏洞CVSS v3.1评分为9.8,属于严重级别安全风险。
该漏洞的核心成因在于Pegasus CMS 1.0版本中`extra_fields.php`插件对用户输入的处理存在严重缺陷。开发人员直接使用了PHP语言中的`eval()`函数来处理通过POST请求提交的`action`参数。`eval()`函数非常危险,它会将传入的字符串当作PHP代码直接解析并执行。由于缺乏任何输入校验、过滤或安全编码机制,攻击者可以轻易构造包含恶意系统命令的字符串。攻击者无需任何身份验证,只需向`submit.php`端点发送POST请求,并将`action`参数赋值为如`system('whoami')`或`passthru('cat /etc/passwd')`等恶意Payload。当服务器端接收到该请求并执行`eval()`时,恶意代码即被触发。这使得攻击者能够获得服务器端的Webshell权限,进而读取敏感文件、控制服务器或横向移动,对系统的机密性、完整性和可用性造成严重破坏。