Mako Server 2.5和2.6 OS命令注入CVE-2025-34095

Mako Server是一个小巧的、随时可以运行的应用服务器，以超级紧凑和高效的Lua web框架及其非阻塞异步套接字提供非常强大的功能。

Mako Server内置用户需要的一切，集成数据库、SMTP、HTTP客户端/服务器，甚至MQTT物联网协议和OPC-UA、Modbus等工业协议。

一、基本情况

Mako Server通过提供Lua服务器页面、异步套接字和WebSockets等功能扩展Lua，是掌握Lua和将编程技能提升到下一水平的终极工具。

Mako Server整合强大安全功能，包括基于TPM的秘密存储和自动证书管理，确保面向公众的服务器和私有部署可信证书安全安装和维护。

栋科技漏洞库关注到Mako Server v2.5和v2.6版本中存在一个操作系统命令注入漏洞，该漏洞被追踪为CVE-2025-34095，CVSS评分9.3。

二、漏洞分析

CVE-2025-34095漏洞是Mako Server版本2.5和2.6中存在一个操作系统命令注入漏洞，特别是examples/save.lsp端点提供的教程界面中。

未经验证攻击者发送包含任意Lua os.execute()代码特制PUT请求，该请求保存在磁盘上通过对examples/manage.lsp后续GET请求触发。

该漏洞来自Beyond Security Security EAM Secure Disclosure finder的约翰·佩奇（hyp3rlinx）披露，允许在底层操作系统远程执行命令。

三、POC概念验证

相关操作系统命令注入远程命令执行（Metasploit）如下：

管理员已设置登录后刷新可查看

四、影响范围

Mako Server v2.5和v2.6

五、修复建议

等待官方升级更新固件

六、参考链接

管理员已设置登录后刷新可查看