漏洞復現！Gerapy遠程命令執行漏洞（CVE-2021-32849）

0x01 漏洞描述

Gerapy是一款基于Scrapy、Scrapyd、Django和Vue.js的分布式爬蟲管理框架。

2021年11月26日，360漏洞云團隊在網上監測到一則關于Gerapy 0.9.6和之前的版本中存在注入漏洞的消息。漏洞編號：CVE-2021-32849，漏洞威脅等級：高危。

該漏洞源于程序沒有正確清理通過project_clone端點傳遞給Popen的輸入。攻擊者可利用該漏洞執行任意命令。

0x02 危害等級

高危：7.2

0x03 漏洞復現

2021年11月26日，360漏洞云安全專家已復現上述漏洞，演示如下：

CVE-2021-32849

完整POC代碼已在360漏洞云情報平臺（https://loudongyun.#/）發布，360漏洞云情報平臺用戶可通過平臺下載進行安全自檢。

0x04 影響版本

Gerapy <=0.9.6

0x05 修復建議

廠商已經在0.9.7版本中修復上述漏洞，用戶請盡快升級到安全版本。

下載鏈接： 

https://github.com/Gerapy/Gerapy/releases

與此同時，請做好資產自查以及預防工作，以免遭受黑客攻擊。