CVE-2026-5532 ScrapeGraphAI命令注入漏洞

漏洞信息

漏洞编号

CVE-2026-5532

漏洞类型

操作系统命令注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

ScrapeGraphAI scrapegraph-ai

漏洞概述

ScrapeGraphAI 是一个基于 LLM 的 Python 网页抓取库。在 1.74.0 及之前的版本中，组件 GenerateCodeNode 的文件 scrapegraphai/nodes/generate_code_node.py 中的 create_sandbox_and_execute 函数存在安全漏洞。由于对用户输入的验证不足，攻击者可以通过操纵该函数导致操作系统命令注入。该漏洞允许远程攻击者在无需认证的情况下，诱导用户进行交互后，在目标系统上执行任意操作系统命令。这可能导致敏感信息泄露、数据篡改或服务中断。目前该漏洞的利用代码已被公开披露，且厂商尚未对此作出响应。

技术细节

该漏洞的根源在于 scrapegraphai/nodes/generate_code_node.py 文件中 create_sandbox_and_execute 函数的实现缺陷。该函数的主要目的是创建一个沙箱环境并执行生成的代码片段，但在构建执行命令或处理传入参数时，代码未能对用户可控的输入进行严格的过滤或转义，直接将输入拼接到系统命令中。攻击者可以通过构造恶意的输入数据，利用特殊字符（如分号、管道符、反引号等）打破原本的命令结构，注入并执行任意的操作系统命令。虽然 CVSS 向量显示需要用户交互 (UI:R)，但这通常意味着攻击者需要诱导受害者访问包含恶意 Payload 的特定链接或触发特定的抓取任务。一旦利用成功，攻击者将获得与运行 ScrapeGraphAI 应用程序相同的系统权限，从而控制服务器。

攻击链分析

STEP 1

1. 侦察

攻击者识别出目标系统正在使用 ScrapeGraphAI scrapegraph-ai 1.74.0 或更早版本。

STEP 2

2. 构造载荷

攻击者构造包含操作系统命令注入特殊字符（如 ; 或 &&）的恶意输入数据。

STEP 3

3. 投递载荷

攻击者诱导用户（或通过自动化触发）将恶意载荷发送到 GenerateCodeNode 组件的 create_sandbox_and_execute 函数接口。

STEP 4

4. 执行命令

由于漏洞存在，应用程序将恶意数据作为系统命令执行，导致攻击者在服务器上运行任意代码。

STEP 5

5. 达成目标

攻击者利用获取的权限窃取数据、破坏完整性或造成拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import os

# Proof of Concept for CVE-2026-5532
# This script demonstrates the command injection vulnerability
# within the create_sandbox_and_execute function.

def vulnerable_create_sandbox(user_code):
    # Simulating the vulnerable behavior where user input is passed
    # directly to a system command without proper sanitization.
    # In the real vulnerability, this might be part of a subprocess call.
    
    # Vulnerable pattern: Concatenating user input directly into a shell command
    command_to_execute = f"python3 -c \"{user_code}\""
    
    print(f"[+] Executing command: {command_to_execute}")
    
    # This simulates the OS command execution
    os.system(command_to_execute)


if __name__ == "__main__":
    # Normal usage
    print("[*] Testing normal input...")
    vulnerable_create_sandbox("print('Hello ScrapeGraphAI')")

    print("\n[*] Testing malicious payload (Command Injection)...")
    # Malicious payload: Injecting a shell command to list files
    # Payload uses ';' to separate commands in the shell
    malicious_payload = "print('pwned'); ls -la; #"
    
    vulnerable_create_sandbox(malicious_payload)

影响范围

ScrapeGraphAI scrapegraph-ai <= 1.74.0

防御指南

临时缓解措施

在官方发布修复补丁之前，建议开发者暂时禁用 GenerateCodeNode 组件或修改 scrapegraphai/nodes/generate_code_node.py 文件，移除直接拼接命令执行代码的逻辑。可以使用 Python 原生的 ast.literal_eval 或受限的 exec() 环境来替代系统命令调用，并确保仅允许白名单内的操作。同时，应在网络边界部署 WAF 规则以拦截针对该接口的常见攻击载荷。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5532
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5532
3 Details https://www.cvedetails.com/cve/CVE-2026-5532/
4 VulDB https://vuldb.com/cve/CVE-2026-5532
5 Link https://github.com/August829/CVEP/issues/19
6 Link https://vuldb.com/submit/782169
7 Link https://vuldb.com/vuln/355285
8 Link https://vuldb.com/vuln/355285/cti