Pandora ITSM 认证命令注入漏洞

概述

Pandora ITSM 是一个用于服务管理与支持的一体化平台，包含符合ITIL流程的帮助台功能。该平台的企业版在 5.0.105 及之前版本中存在一个安全漏洞，允许经过身份验证的攻击者通过备份功能实现远程命令执行。

漏洞标识: CVE-2025-4653 风险等级: 高 影响版本: 所有 ITSM 企业版，版本 <= 5.0.105 修复版本: 5.0.106

该命令注入漏洞存在于应用设置页面的备份功能中。具体来说，是备份设置的 name 参数未对用户输入进行充分过滤和验证。

攻击者需要具备Pandora ITSM Web应用的管理员访问权限。此权限可通过以下方式获得：

获取访问权限：
- 尝试使用已知或默认的管理员凭据（例如 admin / integria）登录Web界面。
- 如果失败，则尝试使用默认的数据库凭据（例如 pandoraitsm / P4ndor4.itsm）连接暴露的MySQL服务。
- 通过SQL查询确定密码哈希算法（Bcrypt或MD5），并在tusuario表中插入一个新的管理员用户记录。
- 使用新创建的用户登录Web应用。
利用命令注入：
- 登录后，导航至备份管理页面 (/godmode/enterprise/godmode/setup/backup_manager)。
- 在创建备份时，将恶意命令注入到 name 参数中。注入格式为：; [恶意命令]; #。这会将后续的系统命令作为备份名称的一部分执行。
执行载荷：
- 攻击者通过Metasploit模块发送特制的HTTP POST请求，触发备份操作，从而执行嵌入在name参数中的系统命令（例如反向Shell）。
清理痕迹（可选）：
- 利用模块包含清理功能，尝试从备份列表中删除包含有效负载的条目，以掩盖攻击行为。

该漏洞的利用已被集成到Metasploit框架中。模块的主要组件包括：

初始化与配置： 定义目标信息、引用、授权选项（数据库和Web凭据）以及有效负载配置（针对Unix/Linux命令）。
数据库交互函数： mysql_login 和 mysql_query 函数用于处理与MySQL数据库的连接和查询，以创建管理员用户。
Web应用登录函数： pandoraitsm_login 函数通过发送登录请求并检查响应中是否包含“godmode”字符串来验证Web身份验证。
漏洞利用函数： execute_payload 函数构造包含命令注入有效负载的HTTP请求，发送到备份管理端点。
清理函数： clean_rce_payload 函数在攻击后尝试从备份列表界面中移除有效负载条目。
检查函数： check 方法通过查询API (/include/api.php?info=version) 来识别易受攻击的Pandora ITSM版本。
主利用函数： exploit 方法编排整个攻击链：获取管理员访问权限、保存凭据、执行命令注入有效负载。