CVE-2026-27602Modoboa是一个流行的邮件托管和管理平台。在2.7.1版本之前,其核心组件`sysutils.py`中的`exec_cmd()`函数在执行子进程时强制使用`shell=True`。由于系统未对输入的域名进行有效的安全过滤和清理,攻击者可将恶意的shell元字符嵌入域名中。这使得拥有Reseller或SuperAdmin高权限的攻击者能够利用该缺陷在服务器端执行任意操作系统命令,完全控制服务器。官方已在2.7.1版本中修复了此高危漏洞。
该漏洞的根本原因在于不安全的系统命令调用。在Modoboa的`modoboa/lib/sysutils.py`文件中,`exec_cmd()`函数被设计用于执行系统级命令,但配置了`shell=True`参数。这意味着Python会将传递的字符串直接传递给系统shell(如/bin/bash)进行解析。当管理员或代理商创建或管理域名时,应用程序会将用户提供的域名参数拼接到系统命令中。由于缺乏对特殊字符(如`;`, `|`, `&`, `$()`等)的过滤或转义,攻击者可以构造包含特殊序列的恶意域名。当系统执行该命令时,Shell解析器会将这些元字符解释为命令分隔符或指令注入点,从而导致原本预期的命令被截断或拼接,进而执行攻击者指定的任意系统命令。尽管CVSS向量显示需要高权限(PR:H),但这通常意味着攻击者需要拥有Reseller或SuperAdmin账户,一旦获得此类权限,即可通过此漏洞从Web应用权限提升至操作系统层面的完全控制权限。