CVE-2026-28673xiaoheiFS是一款面向云服务业务的自托管财务和运营系统。该系统在0.3.15及之前版本中存在严重的远程代码执行漏洞。漏洞源于系统的标准插件功能允许管理员上传ZIP压缩包,其中包含二进制文件和manifest.json配置文件。服务器在处理插件上传时,过度信任manifest.json文件中声明的binaries字段,直接执行指定的二进制文件,而未对该文件的内容、来源或行为进行任何安全验证。攻击者利用此漏洞可在上传精心构造的恶意插件后,在服务器上以高权限执行任意代码,最终可能导致服务器完全沦陷、敏感数据泄露以及系统被进一步渗透。由于该漏洞需要管理员权限才能利用,因此主要威胁对象为内部恶意管理员或已获取管理员凭据的攻击者。
漏洞存在于xiaoheiFS的插件上传功能模块。当管理员通过系统界面上传插件ZIP包时,后端会解压文件并读取其中的manifest.json配置。manifest.json包含binaries字段,用于指定需要执行的二进制文件路径。问题在于服务器端在接收到binaries字段指定的可执行文件后,直接使用系统命令执行该文件,而没有进行以下安全检查:1) 二进制文件的签名或完整性校验;2) 二进制文件的来源验证;3) 沙箱环境下的行为测试;4) 文件类型的白名单限制。攻击者可以构造一个包含恶意二进制文件(如反弹shell脚本或命令执行工具)和相应manifest.json的ZIP包,通过插件上传功能触发服务器的远程代码执行。攻击者利用此漏洞可获得与Web服务相同权限的服务器命令执行能力。