【严重】WPS文档中心及文档中台远程命令执行漏洞
漏洞描述
WPS文档中心是面向个人和企业的云端文档存储与管理平台,WPS文档中台是为企业提供的集成化文档协同与流程管理解决方案,强调API对接与业务系统整合。
在2024年5月之前通过docker私有化部署的版本中,攻击者可未授权访问接口 /open/v6/api/etcd/operate?key=/config/storage&method=get 获取AK/SK密钥。
进而利用该密钥修改K8s配置文件,添加kubelet 路由映射,最终可以向内部POD接口/open/wps/run/{namespace}/{podname}/node-exporter?cmd={url_encode_command}发起命令执行,从而实现远程命令执行。
| MPS编号 | MPS-iluv-0czs |
|---|---|
| CVE编号 | – |
| 处置建议 | 建议修复 |
| 发现时间 | 2025-07-17 |
| 利用成本 | 中 |
| 利用可能性 | 高 |
| 是否有POC | 是 |
影响范围
| 影响组件 | 受影响的版本 | 最小修复版本 |
|---|---|---|
| 金山文档中心 | [7.0.2306b, 7.0.2405b) | 7.0.2405b |
| 金山文档中台 | [6.0.2205, 7.1.2405) | 7.1.2405 |
参考链接
https://p.wpseco.cn/wiki/doc/62416f4116a868df630d61e3
https://www.oscs1024.com/hd/MPS-iluv-0czs
https://p.wpseco.cn/wiki/doc/663a170edb9376f5d2fa9a8d
排查方式
手动排查
检查部署时间:确认是否为2024年5月前docker私有化部署;检查版本:文档中心版本是否在[7.0.2306b,7.0.2405b),文档中台是否在[6.0.2205,7.1.2405);检测接口/配置:访问/open/v6/api/etcd/operate?key=/config/storage&method=get看是否能未授权获取AK/SK,检查K8s配置是否有异常kubelet路由映射。
一键自动排查全公司此类风险
墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务,可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。
试用地址:https://www.murphysec.com/adv?code=9VL5
提交漏洞情报:https://www.murphysec.com/bounty
处置方式
应急缓解方案
- 立即通过网络防火墙或应用防火墙阻断对
/open/v6/api/etcd/operate接口的未授权访问,仅允许可信IP地址访问 - 临时禁用
/open/wps/run/{namespace}/{podname}/node-exporter接口,直至完成修复 - 轮换系统中所有AK/SK密钥,确保旧密钥失效
- 检查K8s配置文件,移除所有非必要的kubelet路由映射
- 启用应用层日志审计,重点监控包含
etcd/operate、node-exporter关键字的请求
根本修复方案
- 将金山文档中心升级至7.0.2405b或更高版本
- 将金山文档中台升级至7.1.2405或更高版本
- 按照官方文档重新配置API访问控制策略,实施严格的身份认证和权限校验
- 部署WAF规则过滤包含
cmd=参数的恶意请求 - 定期审计K8s集群配置,确保仅存在必要的服务路由映射
- 启用最小权限原则配置K8s集群访问权限
