CVE-2026-28279：osctrl-admin 注册脚本命令注入

Source: Dev.to

漏洞详情

• 漏洞编号: CVE-2026-28279
• CVSS 评分: 7.3（高）
• 发布时间: 2026-02-28
• CWE 编号: CWE-78（对操作系统命令中使用的特殊元素未正确中和）
• 攻击向量: 相邻网络
• 利用状态: 已提供概念验证（PoC）
• EPSS 评分: 0.00112

在 osctrl osquery 管理平台的 osctrl‑admin 组件中存在一个关键的命令注入漏洞。经过身份验证的管理员可以通过 environment hostname 参数向生成的注册脚本注入任意 shell 命令。当这些脚本在终端上执行以安装 osquery 代理时，注入的命令会以高权限（通常为 root 或 SYSTEM）运行，从而可能导致全 fleet 的妥协。

• 受影响的版本: osctrl‑admin < 0.5.0，osctrl < 0.5.0
• 已修复于: 0.5.0

技术细节

该漏洞源于对生成注册脚本时使用的 hostname 字段验证不足。攻击者可以提供如下值：

myhost; rm -rf / # 

该值随后被直接嵌入脚本中，导致在目标系统上执行命令。

示例修复 – 严格的正则过滤

// HostnameFilter validates environment hostnames.
// Only alphanumeric characters, dots, and hyphens are allowed.
func HostnameFilter(s string) bool {
    re := regexp.MustCompile(`^[a-zA-Z0-9.\-]+$`)
    return re.MatchString(s)
}

修复步骤

1. 升级 osctrl 至 0.5.0 或更高版本，立即进行。
2. 检查 osctrl‑admin 仪表盘中所有现有的环境配置，留意可疑的主机名条目。
3. 重新生成 并检查已下载但尚未执行的任何注册脚本。
4. 若无法立即升级，考虑实现 Web 应用防火墙（WAF） 规则，阻止包含 shell 元字符（如 ;、|、$、`）的环境端点 POST 请求。
5. 采用通用的加固措施：
   • 对所有用户提供的字段进行输入消毒。
   • 对 osquery 代理实行最小特权原则。
   • 定期进行代码审查，重点关注命令构造。

参考资料

• GHSA‑rchw‑322g‑f7rm – 安全公告。
• NVD 条目 针对 CVE‑2026‑28279。
• CVE‑2026‑28279 完整报告（可在供应商网站获取）。