【漏洞】命令注入

openspug / spug

开源运维平台：面向中小型企业设计的轻量级无Agent的自动化运维平台，整合了主机管理、主机批量执行、主机在线终端、文件在线上传下载、应用发布部署、在线任务计划、配置中心、监控、报警等一系列功能。

https://spug.cc

GNU Affero General Public License v3.0

10.18k stars 2.06k forks source link

Closed passer-W closed 1 month ago

passer-W commented 3 months ago

Spug 版本: 所有版本

/deploy/request/upload/ 路径存在命令拼接：可在运维主机上执行命令，获取主机权限，以示例站为例：

writebai2 commented 2 months ago

这是运维平台，你认证主机用的是root账号，本身就已经信任部署supg的这台机器。而且执行这个指令，spug还有鉴权认证，跳过这个权限才能说注入，你本身就是supg用户拥有这个执行权，这不算一个漏洞。这种平台建议只对内部ip开放，放在公网上，如果平台本身有漏洞，管理的全部机器都得爆炸。