IPBUF安全漏洞报告
English
CVE-2026-5802 CVSS 7.3 高危

CVE-2026-5802 mcp-javadc OS命令注入漏洞

披露日期: 2026-04-08
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-5802
漏洞类型
操作系统命令注入
CVSS评分
7.3 高危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
idachev mcp-javadc

相关标签

命令注入RCEmcp-javadcCVE-2026-5802OS Command Injection

漏洞概述

该漏洞存在于 idachev 开发的 mcp-javadc 软件版本 1.2.4 及以下中。受影响的组件是 HTTP 接口中的一个未知功能。由于对参数 `jarFilePath` 缺乏适当的清理,攻击者可以通过操纵该参数来执行操作系统命令。该漏洞允许远程攻击者无需用户交互和身份验证即可发起攻击,可能导致系统机密性、完整性和可用性受损。目前利用代码已公开,且项目方尚未对此做出响应。

技术细节

该漏洞属于典型的操作系统命令注入漏洞,其根源在于 mcp-javadc 软件中 HTTP 接口组件对用户输入处理不当。具体而言,在处理涉及 `jarFilePath` 参数的请求时,应用程序未能对该参数进行严格的输入验证或过滤。攻击者可以将恶意的操作系统命令注入到该参数中,由于应用程序直接将此参数拼接到底层系统命令中执行,导致恶意代码被服务器解析并运行。由于该漏洞无需身份验证(PR:N)且无需用户交互(UI:N),攻击者可通过网络(AV:N)远程发起攻击。成功利用此漏洞可能导致攻击者在服务器上下文中执行任意命令,进而读取敏感文件、修改数据或中断服务(C:L/I:L/A:L)。鉴于目前公开的 Exploit 代码已存在,未打补丁的系统面临极高的被攻击风险。

攻击链分析

STEP 1
侦察
攻击者扫描网络以识别运行 idachev mcp-javadc 且版本低于或等于 1.2.4 的目标服务。
STEP 2
武器化
攻击者构造包含恶意操作系统命令的 HTTP 请求,将命令注入到 `jarFilePath` 参数中。
STEP 3
交付
攻击者向目标服务器的 HTTP 接口发送特制的恶意请求。
STEP 4
利用
服务器端应用程序接收到请求后,未对 `jarFilePath` 进行过滤,直接将其传递给系统 Shell 执行。
STEP 5
达成
注入的恶意命令在服务器上执行,攻击者获得了一定的系统控制权(低权限),可能导致数据泄露或服务中断。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Target URL (example) target_url = "http://target-ip:port/api/endpoint" # Payload to execute OS command (e.g., 'id' or 'whoami') # The vulnerable parameter is 'jarFilePath' payload = "; whoami" # Construct data data = { "jarFilePath": "/path/to/file.jar" + payload } try: response = requests.post(target_url, data=data) print(f"Status Code: {response.status_code}") print("Response:") print(response.text) except Exception as e: print(f"Error: {e}")

影响范围

idachev mcp-javadc <= 1.2.4

防御指南

临时缓解措施
建议立即检查并限制受影响应用的对外网络访问,在 WAF 或防火墙层面配置规则拦截包含特殊字符(如 ; | & ` $ ( ))的 `jarFilePath` 参数请求,直至官方发布安全更新。同时,可暂时关闭非必要的 HTTP 接口服务以降低风险。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表