文章总结： openDCIM23.04存在三个高危漏洞CVE-2026-28515/16/17，组合利用可致未授权RCE。攻击利用未锁定安装程序绕过认证，经SQL注入触发命令注入。文章详述原理，建议立即升级至2026.2.0版本，临时限制install.php访问并排查数据库，强调纵深防御重要性。 综合评分： 90 文章分类： 漏洞分析,WEB安全,渗透测试,漏洞预警,解决方案

五个请求，拿下数据中心管理系统：CVE-2026-28517 三漏洞链式利用分析

原创

CVE-SEC CVE-SEC

CVE-SEC

2026年3月4日 08:01 四川

五个请求，拿下数据中心管理系统：CVE-2026-28517 三漏洞链式利用分析

发布日期： 2026-03-02

漏洞编号： CVE-2026-28515 / CVE-2026-28516 / CVE-2026-28517

影响产品： openDCIM 23.04      严重等级： 严重 CVSS v4.0 9.3

前言

2026年2月27日，安全研究员 Valentin Lobstein 在个人博客公开披露了针对开源数据中心管理软件 openDCIM 的一条完整攻击链，涉及三个独立 CVE 编号。三个漏洞单独看似乎各有局限，但链式组合后效果惊人：攻击者无需任何凭据，仅发送五个 HTTP 请求，即可在目标服务器上以 Web 服务进程权限执行任意系统命令，实现完全的远程代码执行。

PoC 工具在漏洞披露当天同步公开，攻击门槛极低。如果你的数据中心正在运行 openDCIM 23.04，这篇文章值得认真看完。

openDCIM 是什么

openDCIM 是一款基于 Web 的开源数据中心基础设施管理软件，使用 PHP 开发，运行在 Apache + MySQL 的 LAMP 架构之上，由 openDCIM Foundation 维护，遵循 GPL v3 协议免费使用。

它的主要功能是帮助数据中心运维团队管理物理资产清单、规划机柜空间与电力容量、绘制网络和电源连接拓扑图。由于商业 DCIM 软件价格高昂，openDCIM 在中小型数据中心、高校、政府机构中有一定的使用规模，支持传统 LAMP 部署和 Docker 容器化部署两种方式。

三个漏洞，一条完整的路

这次披露涉及三个 CVE，每一个都对应 openDCIM 安全架构的一处根本性缺陷。

第一环：CVE-2026-28515，安装程序从未被关上

openDCIM 的 install.php 和 container-install.php 是用于初始安装和数据库升级的程序文件。按照通行的 Web 安全实践，安装程序在完成部署后应当被删除，或通过锁文件机制阻止再次访问。

openDCIM 两样都没做。这两个文件在系统上线后依然可以被任何人访问。更关键的是，文件内部没有任何管理员角色检查。openDCIM 自身定义了一套包含 SiteAdmin、ReadAccess 等八个字段的权限体系，但 install.php 对这套体系视而不见，只要请求头中存在 REMOTE_USER 字段就放行。

在部分 Docker 容器化部署中，运维人员习惯使用 SetEnv REMOTE_USER someuser 来配置用户标识，而没有启用真实的身份验证。这类部署中，install.php 对任何能到达服务器的请求者完全开放，无需任何凭据。

漏洞编号： CVE-2026-28515，CWE-862（缺失授权），CVSS v4.0 9.3

第二环：CVE-2026-28516，SQL 语句直接拼接用户输入

install.php 在处理 LDAP 服务器地址等配置参数时，调用了 Config::UpdateParameter 函数（位于 config.inc.php 第 75 至 90 行）。这个函数构造 SQL 语句的方式是直接将用户输入拼接进字符串，没有使用预处理语句，没有参数化查询。

这是一个经典的 SQL 注入漏洞。攻击者可以在 LDAPServer 参数中构造恶意 SQL 语句，对 openDCIM 的 dcim 数据库执行任意操作。

由于默认数据库账户持有 ALL PRIVILEGES ON dcim.* 权限，攻击者可以读写 dcim 数据库中的任意表，包括将任意账户的 SiteAdmin 字段设置为 1 来提升权限，以及向 fac_Config 表中写入恶意内容。

漏洞编号： CVE-2026-28516，CWE-89（SQL 注入），CVSS v4.0 9.3

第三环：CVE-2026-28517，数据库里的值被直接送进了 exec()

report_network_map.php 负责生成网络连接拓扑图，需要调用 Graphviz 的 dot 命令处理图形数据。脚本从数据库的 fac_Config 表中读取 dot 字段的值——这个字段本来应该存储 dot 可执行文件的路径——然后将其直接传入 PHP 的 exec() 函数执行。

代码中没有任何转义处理，没有调用 escapeshellarg()，没有白名单校验。

当攻击者通过第二环的 SQL 注入将 fac_Config.dot 的值修改为类似 /usr/bin/dot;id>/tmp/pwn.txt;echo 的恶意字符串后，只需访问 report_network_map.php，服务器就会以 www-data 进程权限执行其中注入的系统命令。

同样的问题在 vmware.inc.php 中也存在，snmpwalk 和 cut 两个配置项同样被直接拼进 shell 命令执行。

漏洞编号： CVE-2026-28517，CWE-78（OS 命令注入），CVSS v4.0 9.3

攻击链全貌

三个漏洞的传导关系如下：

CVE-2026-28515（绕过授权）
        |
        | 进入 install.php，无需凭据或任意用户身份
        v
CVE-2026-28516（SQL 注入）
        |
        | 通过 LDAPServer 参数注入 SQL
&nbsp; &nbsp; &nbsp; &nbsp; | UPDATE fac_Config SET Value='<恶意命令>' WHERE Parameter='dot'
&nbsp; &nbsp; &nbsp; &nbsp; v
数据库 fac_Config.dot 字段被污染
&nbsp; &nbsp; &nbsp; &nbsp; |
&nbsp; &nbsp; &nbsp; &nbsp; | 访问 report_network_map.php 触发读取
&nbsp; &nbsp; &nbsp; &nbsp; v
CVE-2026-28517（OS 命令注入）
&nbsp; &nbsp; &nbsp; &nbsp; |
&nbsp; &nbsp; &nbsp; &nbsp; | dot 字段值未经转义直接传入 exec()
&nbsp; &nbsp; &nbsp; &nbsp; v
任意系统命令以 www-data 权限执行，RCE 达成

全链路五个 HTTP 请求，攻击复杂度低，无需用户交互。研究员基于 VulnCheck 的 go-exploit 框架编写的自动化利用工具已在 GitHub 公开，执行后确认结果为 uid=33(www-data) gid=33(www-data)，反弹 shell 直接落地。

为什么这个漏洞危害格外值得重视

数据中心管理系统不同于一般 Web 应用。openDCIM 中存储的不只是业务数据，还有服务器 IP 分布、机架位置、网络拓扑结构、SNMP 社区字符串等高度敏感的基础设施信息。一旦系统被攻陷，攻击者获得的不只是一台服务器的权限，而是整个数据中心的地图。

加之公开 PoC 已发布，自动化工具已可用，攻击门槛从”需要一定技术能力”降低到了”复制粘贴”的程度。

受影响范围

openDCIM 23.04 版本，具体至 commit 4467e9c4，均受这三个漏洞影响。

高风险场景：

• Docker 容器化部署且未在反向代理层配置真实身份验证的实例
• 将 openDCIM 管理界面直接暴露在公网的部署

相对低风险场景：

• 传统 Apache 部署且正确配置了 htpasswd 基础认证的实例（CVE-2026-28515 的无认证利用受到阻断，但已登录用户仍可利用后续两个漏洞）

修复方案

openDCIM 官方已在漏洞披露当天发布修复版本 2026.2.0，补丁对应 GitHub Pull Request #1664（提交哈希 8f7ab2a710086a9c8c269560793e47c577ddda09），同时修复了三个漏洞：install.php 增加了管理员角色验证，Config::UpdateParameter 改用参数化查询，report_network_map.php 对传入 exec() 的参数实施了转义处理。

官方补丁地址：https://github.com/opendcim/openDCIM/pull/1664

如暂时无法升级，可采取以下临时措施：

在 Apache 配置中限制 install.php 的访问来源，仅允许信任 IP：

<Files "install.php">
&nbsp; &nbsp; Require ip 127.0.0.1
</Files>

手动检查数据库 fac_Config 表中 dot、snmpwalk、cut 三个字段的值，确认不含分号、管道符等 shell 元字符，将其重置为合法的可执行文件路径。

确保 openDCIM 管理界面不直接暴露在公网，通过 VPN 或内网访问。

升级后需额外检查的两件事

单纯升级代码不等于彻底清除风险。

第一，检查数据库是否已被篡改。对于在补丁发布前可能已遭利用的实例，fac_Config 表中的配置值可能仍残留恶意内容。升级后应立即对所有配置项进行校验并重置为已知安全值。

第二，审计管理员账户。攻击者可能已通过 SQL 注入将普通账户的 SiteAdmin 字段设置为 1。升级后应检查 fac_People 表，核实所有 SiteAdmin=1 的账户是否均为合法管理员，清除异常账户。

检测特征

在流量层面，重点关注以下模式：

目标 URL 为 /install.php 或 /container-install.php 的 POST 请求，且请求体中包含 UPDATE、fac_Config、SET Value= 等字符串，可判断为 SQL 注入尝试。

随后来自同一 IP 对 report_network_map.php 的访问请求，与上述 SQL 注入请求存在时序关联，可判断为尝试触发命令注入。

在主机层面，监控 www-data 进程是否产生非预期的 bash、sh、curl、wget 等子进程。

漏洞成因的普遍意义

这三个漏洞的根本原因都是基础安全编程实践的缺失，并非罕见的复杂攻击面。安装程序部署后未被锁定、SQL 语句使用字符串拼接、将可控数据不加转义地传入系统调用，这三个问题在各类 PHP 遗留应用中广泛存在。

这条攻击链还揭示了一个值得深思的架构问题：应用程序配置（包括外部工具的可执行文件路径）被存储在数据库中，且数据库可以通过 SQL 注入被写入，而这些配置项又会被直接用于操作系统调用。这条从”数据可控”到”命令可控”的传导路径，是缺乏纵深防御设计的结果。

值得在同类系统中开展针对性排查：是否存在安装程序文件长期可访问、数据库操作未使用参数化查询、配置值未经验证直接传入系统调用等问题。

参考来源

• CVE 官方记录：https://www.cve.org/CVERecord?id=CVE-2026-28517
• NVD 详情页：https://nvd.nist.gov/vuln/detail/CVE-2026-28517
• 研究员技术分析文章：https://chocapikk.com/posts/2026/opendcim-sqli-to-rce/
• 官方补丁：https://github.com/opendcim/openDCIM/pull/1664
• VulnCheck 公告：https://vulncheck.com/advisories/opendcim-os-command-injection-via-dot-configuration-parameter
• INCIBE-CERT 公告：https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2026-28517

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CVE-SEC CVE-SEC CVE-SEC《五个请求，拿下数据中心管理系统：CVE-2026-28517 三漏洞链式利用分析》