CVE-2026-39054Oinone Pamirs 7.0.0 版本中被发现存在严重的命令注入漏洞。该漏洞源于 `CommandHelper.executeCommands` 方法在处理外部输入时缺乏必要的校验机制,直接将攻击者可控的命令字符串写入到启动的 shell 进程标准输入中。由于未对特殊字符进行过滤,攻击者可利用此漏洞在目标服务器上执行任意操作系统命令。鉴于该漏洞无需认证且无需用户交互即可通过网络触发,其对系统机密性、完整性和可用性均构成严重威胁,属于高危风险漏洞,建议管理员立即采取措施。
该漏洞的技术细节在于 Oinone Pamirs 框架的 `CommandHelper.executeCommands` 方法实现不当。当应用程序调用此方法执行系统命令时,它启动一个 shell 进程,并将传入的参数直接写入该进程的标准输入流。关键缺陷在于代码未对输入字符串进行任何形式的清洗或转义,导致攻击者可以通过构造包含 Shell 元字符(如 `;`、`|`、`&` 或反引号)的 payload 来注入恶意指令。由于攻击向量为网络(AV:N)且不需要任何预置权限(PR:N),远程攻击者只需向受影响的 API 端点发送特制的数据包,即可欺骗服务器执行注入的命令。这可能导致攻击者获取服务器权限、窃取敏感数据或破坏服务。