新聞
觀點
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
解決方案
活動
訂閱電子報
訂閱電子報
新聞
觀點
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
ProjectDiscovery 開源弱掃工具 Nuclei 爆出嚴重漏洞,可繞過簽章執行惡意程式
2025 / 01 / 06
編輯部
廣受使用的開源弱點掃描工具 Nuclei 被發現存在高風險安全漏洞(CVE-2024-43405),攻擊者可藉此繞過簽章驗證,並可能執行惡意程式碼。該漏洞影響所有 3.0.0 版本以後的 Nuclei,CVSS 分數為 7.4(滿分 10 分)。
漏洞源於簽章驗證機制缺陷
雲端資安公司 Wiz 的研究員解釋,此漏洞存在於模板(template)簽章驗證過程中。Nuclei 使用模板(以 YAML 檔案形式)來發送特定請求以檢測系統是否存在安全漏洞,而簽章驗證則用於確保官方模板庫中模板的完整性。
研究發現,漏洞主要源於系統在進行簽章驗證時使用正規表達式(regex)與 YAML 解析器時的衝突。攻擊者可利用此衝突,透過插入「\r」字元的方式,使其在基於 regex 的簽章驗證中被忽略,但卻能被 YAML 解析器識別為換行符號。
研究員指出,基於Go 語言的 regex 的簽章驗證將 \r 視為同一行的一部分,而 YAML 解析器則將其解讀為換行符號。這種差異使攻擊者能夠注入繞過驗證但仍能被 YAML 解析器執行的內容。
漏洞可能導致嚴重後果
攻擊者可透過此漏洞執行多種惡意行為,包括製作含有惡意模板的程式碼、繞過 Nuclei 的簽章驗證、執行任意指令、竊取敏感資料以及破壞系統安全。
研究人員警告,「當組織在未經適當驗證或隔離的情況下執行不受信任或社群貢獻的模板時,就可能遭受攻擊。攻擊者可利用此功能注入惡意模板,進而執行任意指令、竊取資料或破壞系統。」
ProjectDiscovery 已於 2024 年 9 月 4 日發布 3.3.2 版本修復此漏洞。使用者應立即更新至最新版本(目前為 3.3.7 版本)以確保系統安全。同時,建議組織在提供社群的模板時,應進行適當的驗證和隔離,以降低遭受攻擊的風險。
本文轉載自thehackernews。
弱點掃描工具
簽章驗證機制
最新活動
2026.07.22
2026 政府資安論壇
2026.07.08
AI工具應用資安風險評估管理
2026.07.09
7/9-7/10【軟體開發安全意識與 .NET/Java 安全程式開發】兩日集訓班
2026.07.14
2026迎戰合規新局上市櫃企業資安治理與風險評估實戰解析
2026.07.15
資安新興技術、AI應用與全球發展趨勢解析
2026.07.15
資安新興技術、AI應用與全球發展趨勢解析
2026.07.29
半導體與高科技園區資安防護
2026.07.30
Azure 雲端轉型研討會|雲端 x AI x 資安
看更多活動
大家都在看
傳統防火牆只看 IP,語意防火牆看「意圖」:林宜隆教授解析神經符號架構與 AI 治理三標準如何聯手對抗工業化攻擊
群暉科技 Synology 修補 MailPlus Server 三項重大漏洞,逾 2,100 台暴露於網路
Sophos 與 Rubrik 攜手推出由 Rubrik Cyber Resilience 技術支援的 Microsoft 365 備份與復原服務
超越人類監督:前沿 AI 時代的新挑戰與應對
資安署雙警示齊發:曬票恐洩個資、網通設備暴露成駭客跳板
資安人科技網
文章推薦
Jamf 推出 Mac 原生的 AI 治理解決方案
美國非營利開源基金會推出「開源永續倡議」,提升生命週期終止的開源軟體安全
中文語系 APT 組織 CL-STA-1062 針對東南亞部署新型後門 TinyRCT