关键信息 漏洞编号: #587199 漏洞标题: ChestnutCMS <= 15.1 code execution 描述: - ChestnutCMS 是一个企业级内容管理系统,支持前后端分离。在版本 5.1 之前,系统支持在线执行 Groovy 脚本。 - 基于代码分析,发现 API 端点接受 JSON 格式数据作为输入。JSON 数据被传递给 方法进行解释和执行。 - 然而,脚本内容未经过验证,由于此功能暴露在前端,存在显著的安全风险。 关键代码片段: 安全风险: - 由于脚本内容未验证,攻击者可能利用此漏洞执行任意代码,导致系统被控制或数据泄露。