详细内容或原文请订阅后点击阅览
开源漏洞扫描器发现...严重漏洞
流行的 Nuclei 系统中的一个缺陷允许攻击者执行外部代码。
来源:OSP网站大数据新闻在 GitHub 上拥有数百万次下载量和 22,000 颗星的 Nuclei 漏洞扫描程序本身也被证明存在漏洞 - Wiz 公司的专家在其中发现了一个缺陷,该缺陷在 CVSS 评分标准中获得了 7.4 分(满分 10 分)。< /div>
该问题与 YAML 模板哈希检查的实现特性有关,该模板规定了检查系统漏洞的规则。代码中标记为注释的哈希行是保护 Nuclei 中的模板不被修改的唯一机制。验证函数计算模板代码的哈希值而不考虑字符串本身,并将其与其内容进行比较。研究人员发现,如果在哈希中插入换行符标签,则可以在其后添加任何代码,这些代码将由漏洞扫描程序执行。
该漏洞存在于Nuclei 3.0.0及以上版本中;自 3.3.2 版本以来已经做出修复。