近日，開源 CasaOS 個人云軟件中發(fā)現(xiàn)的兩個嚴(yán)重的安全漏洞。該漏洞一旦被攻擊者成功利用，就可實現(xiàn)任意代碼執(zhí)行并接管易受攻擊的系統(tǒng)。

這兩個漏洞被追蹤為CVE-2023-37265和CVE-2023-37266，CVSS評分均為9.8分。

發(fā)現(xiàn)這些漏洞的Sonar安全研究員Thomas Chauchefoin表示：這兩個漏洞均允許攻擊者繞過身份驗證要求，獲得對CasaOS儀表板的完全訪問權(quán)限。

更令人擔(dān)憂的是，CasaOS 對第三方應(yīng)用程序的支持可被用于在系統(tǒng)上運行任意命令，以獲得對設(shè)備的持久訪問權(quán)或進入內(nèi)部網(wǎng)絡(luò)。

繼 2023 年 7 月 3 日負(fù)責(zé)任的披露之后，其維護者 IceWhale 于 2023 年 7 月 14 日發(fā)布的 0.4.4 版本中解決了這些漏洞。

這兩個漏洞的簡要說明如下：

• CVE-2023-37265 - 源 IP 地址識別不正確，允許未經(jīng)身份驗證的攻擊者在 CasaOS 實例上以 root 身份執(zhí)行任意命令
• CVE-2023-37265 - 未經(jīng)驗證的攻擊者可以製作任意 JSON Web 令牌 (JWT)，存取需要驗證的功能，並在 CasaOS 實體上以根身份執(zhí)行任意指令

這兩個漏洞被成功利用的后果是，攻擊者可以繞過身份驗證限制，并在易受攻擊的 CasaOS 實例上直接獲得管理權(quán)限。

Chauchefoin表示，在應(yīng)用層識別IP地址是有風(fēng)險的，不應(yīng)該依賴于安全決策。許多不同的報頭都可能傳輸諸如X-Forwarded-For, Forwarded等信息，并且語言api有時需要以相同的方式解釋HTTP協(xié)議的細(xì)微差別。同樣，所有的框架都有自己的“怪癖”，如果沒有這些常見安全漏洞的專業(yè)知識，便很難駕馭。