CVE-2026-0759CVE-2026-0759是Katana Network Development Starter Kit中的一个严重命令注入漏洞,CVSS评分高达9.8分,属于严重级别。该漏洞存在于executeCommand方法的实现中,由于缺乏对用户提供的字符串进行正确的输入验证就直接用于系统调用,导致远程攻击者可以在无需认证的情况下执行任意代码。攻击者通过构造恶意输入,利用executeCommand方法将恶意命令注入到底层系统调用中,最终实现以服务账户权限执行任意操作系统命令。此漏洞影响严重,任何暴露在网络中的Katana Network Development Starter Kit实例都可能成为攻击目标,攻击成功后可能导致服务器完全沦陷、数据泄露或进一步的内网渗透。
该漏洞的根本原因在于executeCommand方法对用户输入的处理存在严重缺陷。攻击者可以通过向executeCommand方法传递精心构造的字符串,利用命令分隔符(如分号、管道符、&&、||等)注入额外的系统命令。由于该方法直接将用户输入拼接到系统命令中执行,而没有进行任何过滤或转义处理,导致任意命令注入成为可能。攻击者可以以服务账户的上下文执行代码,这意味着攻击者获得的权限取决于服务账户的配置,可能包括读取敏感文件、修改系统配置或植入后门等操作。ZDI-CAN-27786是此漏洞的ZDI(Zero Day Initiative)编号,表明该漏洞已通过官方漏洞赏金计划报告并确认。