Linux 服务器恶意软件扫描工具ImunifyAV及其企业级套件 Imunify360存在严重远程代码执行RCE漏洞。该工具已被数千万网站广泛采用主要服务于共享主机、托管 WordPress、cPanel/WHM 和 Plesk 环境。受影响组件AI-Bolit 恶意软件扫描引擎受影响版本32.7.4.0 之前的所有版本包括免费版 ImunifyAV、付费版 ImunifyAV 及 Imunify360 套件修复版本32.7.4.0或 32.7.4-1及更高版本CloudLinux 已于 2025 年 10 月底发布修复补丁并于 11 月 10 日反向移植至旧版本。目前该漏洞尚未分配 CVE 编号CloudLinux 在安全公告中将其定性为“高危”敦促用户尽快升级。ImunifyAV 产品概览与影响范围ImunifyAV 是 Imunify360 安全套件的核心组件之一主要在主机平台层面部署用于后台恶意软件扫描。网站管理员通常无需直接交互但它在共享主机环境中扮演重要防护角色。根据 Imunify 2024 年 10 月数据该工具已保护超过5600 万个网站Imunify360 安装量超过64.5 万次。漏洞一旦被利用可能导致网站入侵甚至在共享主机环境下造成整个服务器被接管。Imunify360 / ImunifyAV 典型管理界面cPanel / WHM 环境漏洞成因与利用条件漏洞根源在于AI-Bolit 组件的反混淆deobfuscation逻辑 当工具扫描混淆的 PHP 文件时会提取并执行攻击者控制的函数名和数据。核心问题在于使用了 call_user_func_array 函数却未对函数名进行有效验证。攻击者可借此调用危险 PHP 函数例如system、exec、shell_exec、passthru、eval 等利用前提Imunify360 AV 在扫描过程中强制启用“主动反混淆”功能后台扫描、按需扫描、快速扫描等均默认开启。独立版 AI-Bolit CLI 默认禁用该功能因此不受影响。研究人员已公开概念验证PoC在 /tmp 目录放置特制 PHP 文件当扫描工具处理该文件时即可触发 RCE。更简易的利用方式无需上传恶意软件即可发起攻击。远程代码执行RCE漏洞概念示意Linux 服务器恶意软件扫描终端示例潜在危害单个网站被入侵共享主机环境下攻击者可能提升权限接管整个服务器结合其他漏洞可能实现持久化后门或横向移动截至目前官方尚未确认该漏洞是否已在野外被主动利用也未提供入侵检测指南。修复方案唯一有效修复方式立即将 AI-Bolit 组件升级至32.7.4.0或 32.7.4-1及更高版本。升级命令以管理员权限执行CentOS / AlmaLinux / Rocky Linux 等Bashyum update ai-bolitDebian / Ubuntu 等Bashapt-get update apt-get install --only-upgrade ai-bolit修复原理新增白名单机制仅允许安全、预定义的函数在反混淆过程中执行彻底阻止任意函数调用。建议操作步骤检查当前 AI-Bolit 版本。尽快执行升级命令多数服务器已通过自动更新推送。升级后重启相关服务并验证扫描功能正常。共享主机提供商应通知所有用户并检查服务器是否有异常活动。安全提醒虽然 CloudLinux 已快速修复该问题但由于 ImunifyAV 在 Linux 托管环境中的普及度极高系统管理员仍需重视此次更新。建议定期检查 Imunify 组件版本。关注 CloudLinux 官方 Zendesk 和 Imunify 博客公告。在高风险环境中可临时限制扫描工具的权限或运行于隔离容器。参考来源CloudLinux 官方安全公告、Patchstack 分析报告2025 年 11 月。