关键信息 漏洞概述 漏洞类型: 命令执行漏洞 受影响版本: 1Panel v2.0.8 函数: 问题: 函数直接将操作参数传递给 ,可能导致命令注入。 细节 代码路径: 证明: 提供了截图和示例,证明可以成功执行任意命令,如创建新文件。 示例: 成功执行了创建 文件的命令。 修复建议 1. 不要直接将用户输入拼接到命令字符串中。 2. 使用严格的白名单验证 参数,只允许预期值(如 'start', 'stop', 'restart')。 3. 如果 不在白名单中,立即拒绝请求。 修复示例 PoC 影响 函数直接使用操作参数,可能用于构建系统命令执行,如 。 如果操作参数未严格白名单验证,攻击者可注入任意命令,例如执行 命令。