CVE-2026-40035 CVSS 9.1 严重

CVE-2026-40035 Unfurl远程代码执行漏洞

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-40035

漏洞类型

远程代码执行

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Unfurl

漏洞概述

Unfurl在2025.08及之前的版本中存在严重的输入验证不当漏洞。该漏洞源于配置解析逻辑错误，将Flask应用的调试配置值作为字符串直接传递给run函数。由于非空字符串在Python中被视为真值，导致调试模式被意外启用。攻击者可利用此漏洞访问Werkzeug调试控制台，进而窃取敏感信息或在服务器上执行任意代码。

技术细节

该漏洞的核心技术问题在于Python中布尔类型判断的特性。在受影响的Unfurl版本中，应用程序解析配置文件时，将debug参数作为字符串读取（例如配置为'False'或'0'），并未将其转换为布尔类型。随后，该字符串直接被传递给Flask框架的`app.run(debug=config_string)`函数。在Python逻辑中，任何非空字符串的布尔值均为`True`，因此即使管理员意图关闭调试功能，应用实际运行时调试模式仍处于开启状态。一旦Flask调试模式开启，Werkzeug调试器将介入处理异常。当应用发生错误或直接访问调试端点时，攻击者无需通过身份认证即可获得交互式Python调试控制台。利用该控制台，攻击者可以导入`os`或`subprocess`模块，执行任意系统命令，从而完全控制服务器。

攻击链分析

STEP 1

1. 信息搜集

攻击者识别出互联网上运行Unfurl应用的目标服务器。

STEP 2

2. 漏洞利用

攻击者向目标服务器发送请求，利用配置解析错误导致的Flask调试模式开启，访问Werkzeug调试控制台。

STEP 3

3. 代码执行

通过调试控制台执行任意Python代码（如os.system），从而在服务器上执行系统命令。

STEP 4

4. 权限维持与数据窃取

建立反弹Shell或窃取服务器上的敏感配置文件和数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-40035: Unfurl Werkzeug Debugger RCE
# This script checks if the debugger console is accessible.

import requests

target = "http://localhost:5000" # Replace with actual target

# The Werkzeug debugger console endpoint
console_url = f"{target}/console"

try:
    response = requests.get(console_url, timeout=5)
    if response.status_code == 200 and "Werkzeug" in response.text:
        print("[+] Vulnerability Confirmed: Werkzeug Debugger is accessible.")
        print("[+] Remote Code Execution is possible via the interactive console.")
    else:
        print("[-] Debugger not accessible or target not vulnerable.")
except Exception as e:
    print(f"[!] Error connecting to target: {e}")

影响范围

Unfurl <= 2025.08

防御指南

临时缓解措施

建议立即将Unfurl升级至官方发布的最新修复版本。如果暂时无法升级，请务必检查应用程序的配置文件，确保`debug`选项未被设置为任何非空字符串（如"False"），并严格限制应用服务器的出站入站流量，防止攻击者利用调试控制台执行恶意命令。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表