CVE-2026-35581Emissary是一个基于P2P的数据驱动工作流引擎。在8.39.0版本之前,Executrix工具类在构造Shell命令时存在漏洞。它通过拼接配置派生值(如PLACE_NAME参数)来生成命令,且清洗不充分,仅将空格替换为下划线。这允许攻击者注入Shell元字符,导致任意命令执行。该漏洞已在8.39.0版本中修复。
该漏洞的根本原因在于Emissary项目中的`Executrix`工具类未正确处理用户输入或配置参数。当构造系统命令时,代码直接将`PLACE_NAME`等配置值拼接到命令字符串中,仅对空格进行了简单的替换操作(替换为下划线)。这种过滤机制极度薄弱,无法阻止Shell元字符(如`; | $` ` ` ( )`等)的注入。由于最终命令通过`/bin/sh -c`执行,攻击者如果能控制`PLACE_NAME`参数,即可利用Shell元字符截断原有命令逻辑,注入并执行任意恶意系统指令。虽然CVSS向量显示需要高权限(PR:H),意味着攻击者通常需要具备管理员或配置权限才能触发该漏洞,但一旦利用成功,攻击者即可获得底层服务器的完全控制权,造成严重的数据泄露或系统破坏。