Nuclei 是一款广泛使用的开源漏洞扫描工具,专注于现代应用程序、基础设施、云平台和网络的安全问题检测。Nuclei 使用基于 YAML 文件的模板来发送特定请求以确定漏洞的存在,并支持通过 code 协议执行外部代码,提升了安全测试的灵活性。
01 漏洞描述
漏洞类型:Nuclei 模板签名验证绕过与任意代码执行漏洞(CVE-2024-43405)
该漏洞源于签名验证流程与 YAML 解析器处理换行符方式的不一致性,以及多签名处理逻辑的缺陷,允许攻击者通过精心构造的模板绕过签名验证并注入恶意代码。攻击者可利用该漏洞在模板中插入恶意内容,同时保持合法的模板签名,从而实现任意代码执行并访问主机上的敏感数据。问题的核心在于,签名验证使用正则表达式(regex)处理模板签名,而 YAML 解析器在处理 r 字符时将其解释为换行符,造成解析冲突。攻击者可以使用 r 绕过基于正则的签名验证,并通过 YAML 解析器将恶意内容执行。
技术细节:
02 漏洞影响范围
受影响型号:
03 漏洞修复方案
升级到最新版本:
将 Nuclei 升级到 3.3.7 或更高版本。
验证模板来源:
严格使用官方可信模板库,避免运行未经验证或来源不明的社区模板。
模板隔离与沙盒运行:
通过隔离机制或沙盒执行模板,防止潜在的恶意代码对主机系统造成威胁。
日志监控:
配置日志以监控异常模板执行行为或命令注入痕迹。
04 参考链接
https://thehackernews.com/2025/01/researchers-uncover-nuclei.html
END
原文始发于微信公众号(锋刃科技):Nuclei 模板签名验证绕过与任意代码执行漏洞(CVE-2024-43405)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论