【嚴重】WPS文檔中心及文檔中臺遠程命令執行漏洞
漏洞描述
WPS文檔中心是面向個人和企業的云端文檔存儲與管理平臺,WPS文檔中臺是為企業提供的集成化文檔協同與流程管理解決方案,強調API對接與業務系統整合。
在2024年5月之前通過docker私有化部署的版本中,攻擊者可未授權訪問接口 /open/v6/api/etcd/operate?key=/config/storage&method=get 獲取AK/SK密鑰。
進而利用該密鑰修改K8s配置文件,添加kubelet 路由映射,最終可以向內部POD接口/open/wps/run/{namespace}/{podname}/node-exporter?cmd={url_encode_command}發起命令執行,從而實現遠程命令執行。
| MPS編號 | MPS-iluv-0czs |
|---|---|
| CVE編號 | - |
| 處置建議 | 建議修復 |
| 發現時間 | 2025-07-17 |
| 利用成本 | 中 |
| 利用可能性 | 高 |
| 是否有POC | 是 |
影響范圍
| 影響組件 | 受影響的版本 | 最小修復版本 |
|---|---|---|
| 金山文檔中心 | [7.0.2306b, 7.0.2405b) | 7.0.2405b |
| 金山文檔中臺 | [6.0.2205, 7.1.2405) | 7.1.2405 |
參考鏈接
https://p.wpseco.cn/wiki/doc/62416f4116a868df630d61e3
https://www.oscs1024.com/hd/MPS-iluv-0czs
https://p.wpseco.cn/wiki/doc/663a170edb9376f5d2fa9a8d
排查方式
手動排查
檢查部署時間:確認是否為2024年5月前docker私有化部署;檢查版本:文檔中心版本是否在[7.0.2306b,7.0.2405b),文檔中臺是否在[6.0.2205,7.1.2405);檢測接口/配置:訪問/open/v6/api/etcd/operate?key=/config/storage&method=get看是否能未授權獲取AK/SK,檢查K8s配置是否有異常kubelet路由映射。
一鍵自動排查全公司此類風險
墨菲安全為您免費提供一鍵排查全公司開源組件漏洞&投毒風險服務,可一鍵接入掃描全公司的代碼倉庫、容器鏡像倉庫、主機、制品倉庫等。
試用地址:https://www.murphysec.com/adv?code=9VL5
提交漏洞情報:https://www.murphysec.com/bounty
處置方式
應急緩解方案
- 立即通過網絡防火墻或應用防火墻阻斷對
/open/v6/api/etcd/operate接口的未授權訪問,僅允許可信IP地址訪問 - 臨時禁用
/open/wps/run/{namespace}/{podname}/node-exporter接口,直至完成修復 - 輪換系統中所有AK/SK密鑰,確保舊密鑰失效
- 檢查K8s配置文件,移除所有非必要的kubelet路由映射
- 啟用應用層日志審計,重點監控包含
etcd/operate、node-exporter關鍵字的請求
根本修復方案
- 將金山文檔中心升級至7.0.2405b或更高版本
- 將金山文檔中臺升級至7.1.2405或更高版本
- 按照官方文檔重新配置API訪問控制策略,實施嚴格的身份認證和權限校驗
- 部署WAF規則過濾包含
cmd=參數的惡意請求 - 定期審計K8s集群配置,確保僅存在必要的服務路由映射
- 啟用最小權限原則配置K8s集群訪問權限
)
)
