CVE-2026-42601ArchiveBox是一款流行的开源自托管网页归档解决方案。在其0.8.6rc0及更早的版本中,存在一个严重的远程代码执行漏洞。问题的根源在于`/add/`端点(位于`core/views.py`的AddView)在处理用户输入时存在缺陷。该接口允许用户提交一个名为`config`的JSON字段,但系统并未对该字段内容进行必要的安全校验。此配置随后被直接合并到爬虫的配置字典中,并在执行归档插件时被导出为环境变量。攻击者可以通过构造恶意的JSON数据,注入任意工具参数,进而诱使底层系统执行恶意代码。由于目前没有可用的补丁,该漏洞对部署了旧版本ArchiveBox的服务器构成了极大的威胁。
该漏洞的利用原理涉及到了不安全的配置处理和环境变量注入。具体来说,ArchiveBox的`AddView`在处理归档请求时,会解析用户POST数据中的`config`参数并将其合并到全局配置中,期间未进行任何过滤或清洗。在后续的归档流程中,系统会启动外部插件(如`wget`、`youtube-dl`等)来抓取内容。此时,被污染的配置会被以环境变量的形式传递给这些子进程。攻击者利用这一点,可以构造特定的参数值,这些值在底层工具解析环境变量或构建命令行参数时,可能触发命令注入或参数注入攻击。由于CVSS向量显示无需认证(PR:N)且无用户交互(UI:N),攻击者可轻易通过网络(AV:N)发送恶意请求,导致服务器机密性、完整性和可用性全面受损(C:H/I:H/A:H)。