近日，開源 CasaOS 個人云軟件中發現的兩個嚴重的安全漏洞。該漏洞一旦被攻擊者成功利用，就可實現任意代碼執行并接管易受攻擊的系統。

這兩個漏洞被追蹤為CVE-2023-37265和CVE-2023-37266，CVSS評分均為9.8分。

發現這些漏洞的Sonar安全研究員Thomas Chauchefoin表示：這兩個漏洞均允許攻擊者繞過身份驗證要求，獲得對CasaOS儀表板的完全訪問權限。

更令人擔憂的是，CasaOS 對第三方應用程序的支持可被用于在系統上運行任意命令，以獲得對設備的持久訪問權或進入內部網絡。

繼 2023 年 7 月 3 日負責任的披露之后，其維護者 IceWhale 于 2023 年 7 月 14 日發布的 0.4.4 版本中解決了這些漏洞。

這兩個漏洞的簡要說明如下：

• CVE-2023-37265 - 源 IP 地址識別不正確，允許未經身份驗證的攻擊者在 CasaOS 實例上以 root 身份執行任意命令
• CVE-2023-37265 - 未經驗證的攻擊者可以製作任意 JSON Web 令牌 (JWT)，存取需要驗證的功能，並在 CasaOS 實體上以根身份執行任意指令

這兩個漏洞被成功利用的后果是，攻擊者可以繞過身份驗證限制，并在易受攻擊的 CasaOS 實例上直接獲得管理權限。

Chauchefoin表示，在應用層識別IP地址是有風險的，不應該依賴于安全決策。許多不同的報頭都可能傳輸諸如X-Forwarded-For, Forwarded等信息，并且語言api有時需要以相同的方式解釋HTTP協議的細微差別。同樣，所有的框架都有自己的“怪癖”，如果沒有這些常見安全漏洞的專業知識，便很難駕馭。