漏洞概述
近日,发现 Sangfor 运维安全管理系统(Operation and Maintenance Security Management System)存在一个远程命令注入漏洞。该漏洞存在于系统组件 HTTP POST 请求处理器中的 /fort/ip_and_port/port_validate 文件的 portValidate 函数,攻击者可通过操纵请求参数 port 实现远程命令执行。目前该漏洞的利用代码已公开,存在被实际攻击的风险。
漏洞详情
- CVE 编号:CVE-2026-1413
- 漏洞类型:命令注入(CWE-77 / CWE-74)
- CVSS 评分:CVSS v3.1 基础评分为 6.3(中危);CVSS v4.0 基础评分为 5.3(中危)
- 影响版本:Sangfor 运维安全管理系统 ≤ 3.0.12
影响范围
该漏洞影响 Sangfor 运维安全管理系统 3.0.12 及更早版本。受影响系统若暴露于公网或内部网络中未受控访问的环境中,可能被低权限远程攻击者利用。
风险分析
攻击者在具备低权限账户的前提下,可通过发送特制的 HTTP POST 请求,向 port 参数注入操作系统命令,从而在目标服务器上执行任意命令。可能导致敏感信息泄露、系统完整性破坏或服务中断等后果。由于漏洞利用代码已公开,攻击门槛较低,建议尽快处置。
修复建议
- 建议用户立即联系 Sangfor 官方获取并安装最新安全补丁或升级至已修复该漏洞的版本。
- 如无法立即升级,可临时限制对
/fort/ip_and_port/port_validate接口的访问,仅允许可信 IP 访问,并加强输入参数的合法性校验与过滤。
