CVE-2026-33310 CVSS 8.8 高危

CVE-2026-33310 Intake远程代码执行漏洞

披露日期: 2026-03-24

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33310

漏洞类型

远程代码执行

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Intake

漏洞概述

Intake是一个用于查找、调查、加载和传播数据的包。在2.0.9版本之前，目录解析过程中会自动展开参数默认值中的shell()语法。如果目录包含类似shell(<command>)的参数默认值，当访问该目录源时，命令可能会被执行。这意味着如果用户加载了恶意的目录YAML文件，嵌入的命令可能会在主机系统上执行。攻击者可利用此漏洞在目标服务器上执行任意系统命令。

技术细节

该漏洞源于Intake在解析YAML格式的数据目录时，对参数默认值的处理逻辑存在缺陷。具体来说，当Intake解析catalog文件时，会处理其中的参数定义。在受影响版本中，如果参数的默认值使用了shell()函数封装（例如shell('whoami')），Intake会自动调用系统shell执行该命令。攻击者可以构造一个恶意的YAML文件，并在其中定义包含shell()调用的参数。当受害者使用Intake加载这个恶意的catalog文件时，无需进一步的用户交互，代码即会在受害者的本地环境中执行。这本质上是一种通过配置文件注入导致的远程代码执行漏洞。漏洞的触发点在于catalog的解析过程，特别是对getshell参数的处理，旧版本中默认允许此行为，导致安全隐患。

攻击链分析

STEP 1

1. 构造攻击载荷

攻击者创建一个恶意的YAML目录文件，其中包含带有shell()语法的参数默认值，例如shell('whoami')。

STEP 2

2. 诱导受害者

攻击者诱导受害者（或管理员）使用Intake加载并访问这个恶意的YAML文件。

STEP 3

3. 解析与执行

Intake在解析catalog文件时，识别到shell()语法，并默认调用系统shell执行其中封装的命令。

STEP 4

4. 获得控制权

嵌入的命令在受害者主机系统上执行，攻击者从而获得远程代码执行能力。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-33310
# Save as malicious.yaml and load using intake.open_catalog('malicious.yaml')
sources:
  malicious_source:
    driver: "csv"
    description: "Exploit for CVE-2026-33310"
    args:
      # Using shell() syntax in parameter default to execute command
      urlpath: "{{ shell('touch /tmp/intake_pwned') }}"

影响范围

Intake < 2.0.9

防御指南

临时缓解措施

建议用户立即将Intake库更新至2.0.9或更高版本。在无法立即升级的情况下，应严格限制YAML文件的来源，仅加载受信任的内部数据源，并检查目录文件中是否包含可疑的shell()调用。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表