文章总结: BMCControl-M/Server存在严重漏洞CVE-2026-10539,CVSS评分9.5,允许未经身份验证的攻击者远程执行命令。该漏洞源于输入处理不当,影响9.0.20.x至9.0.21.200版本。建议立即升级至9.0.21.300或更高版本,并限制网络访问以降低风险。 综合评分: 81 文章分类: 漏洞分析,应急响应,安全工具
Control-M CVE-2026-10539:未经身份验证的远程命令注入漏洞(CVSS 评分 9.5)
sec随谈 sec随谈
sec随谈
2026年7月8日 09:35 北京
在小说阅读器读本章
去阅读
摘要
BMC 披露了一个存在于 Control-M/Server 中的严重漏洞,编号为 CVE-2026-10539。这一 Control-M 命令注入漏洞在 CVSSv4 标准下的评分为 9.5,可让未经身份验证的攻击者远程在服务器上执行命令。
为何重要
Control-M 在混合企业环境中承担任务调度及文件传输功能。一旦服务器遭到攻破,敏感的工作流程以及相连的云存储都将面临暴露风险。这个 Control-M 命令注入漏洞完全无需登录即可利用,因此对外暴露的实例面临被完全接管的实际风险。攻击者还可能借此转向利用与之关联的其他服务,如 Amazon S3、Azure 以及 SharePoint Online。
攻击原理
该漏洞的根本原因在于输入处理不当。Control-M/Server 中的某个通信命令未能正确过滤或清理用户提供的输入内容。在特定条件下,这一缺陷会导致未经身份验证的远程命令注入。BMC 将该问题归类为 CWE-305,即身份验证绕过缺陷。目前尚未公开任何可用的利用细节,本文中同样未涉及此类内容。
利用现状
BMC 尚未报告发现任何野外主动利用行为,同样也没有公开的概念验证(PoC)代码出现。不过,鉴于该漏洞的严重程度极高,仍需尽快采取应对措施。
受影响版本
该漏洞影响运行于 UNIX 和 Microsoft Windows 平台的 Control-M/Server。存在漏洞的版本范围为 9.0.20.x 至 9.0.21.200(包含在内)。更早的、已停止支持的版本也可能受此漏洞影响。9.0.21.300 及更高版本已修复该问题。
修复与缓解措施
管理员应尽快升级至 9.0.21.300 或更高版本,该版本已彻底移除了这一未经身份验证的远程命令注入路径。BMC 在其官方 Control-M 安全公告中提供了完整的修复步骤。在完成补丁更新之前,建议限制对 Control-M/Server 通信端口的网络访问,同时密切监控服务器上是否出现异常命令活动,并对近期的任务日志进行审查。
参考链接:
https://bmcapps.my.site.com/casemgmt/sc_KnowledgeArticle?sfdcid=kA3cx000000GFZNCA4&type=Solution
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:sec随谈 sec随谈 sec随谈《Control-M CVE-2026-10539:未经身份验证的远程命令注入漏洞(CVSS 评分 9.5)》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论