CVE-2026-41468: Beghelli SicuroWeb AngularJS沙箱逃逸漏洞

漏洞信息

漏洞编号

CVE-2026-41468

漏洞类型

沙箱逃逸, 模板注入, 远程代码执行

CVSS评分

8.7 高危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Beghelli Sicuro24 SicuroWeb

漏洞概述

Beghelli Sicuro24 SicuroWeb产品中嵌入了已停止维护的AngularJS 1.5.2组件。由于该组件存在已知的沙箱逃逸原语，结合应用程序中存在的模板注入漏洞，攻击者能够成功绕过AngularJS的沙箱限制。这一漏洞允许攻击者在操作员的浏览器会话中执行任意JavaScript代码，进而实现会话劫持、DOM操作以及对浏览器的持久性控制。特别是在使用纯文本HTTP部署的情况下，相邻网络的攻击者可以通过中间人（MITM）攻击投递完整的注入和逃逸攻击链，且无需用户的主动交互即可完成利用，对系统安全性构成严重威胁。

技术细节

该漏洞的核心在于Beghelli Sicuro24 SicuroWeb应用内嵌了过时的AngularJS 1.5.2版本。AngularJS 1.x版本通过客户端沙箱机制来限制表达式的执行，防止任意JavaScript代码运行。然而，AngularJS 1.5.2中存在已知的沙箱逃逸原语，攻击者可以通过特定的语法构造（如修改`constructor`或`prototype`链）来绕过这些限制。当应用存在模板注入点时，即用户输入被直接拼接到AngularJS模板表达式（如`{{...}}`）中解析，攻击者即可注入包含沙箱逃逸payload的恶意数据。由于应用可能部署在非加密的HTTP环境下，处于同一局域网的攻击者可以进行中间人攻击，拦截并篡改服务器响应，注入恶意模板代码。当受害者浏览器加载被篡改的页面时，AngularJS解析引擎会处理该恶意表达式，触发沙箱逃逸，最终导致在受害者的浏览器上下文中执行任意恶意脚本，窃取会话Cookie或进行钓鱼攻击。

攻击链分析

STEP 1

侦察与定位

攻击者识别出目标网络中运行Beghelli Sicuro24 SicuroWeb的设备，并确认其使用HTTP明文传输。

STEP 2

中间人位置建立

攻击者在相邻网络（如同一Wi-Fi）中建立ARP欺骗或其他形式的中间人（MITM）攻击位置，能够拦截并修改受害者与服务器之间的流量。

STEP 3

流量拦截与注入

攻击者拦截服务器返回的HTTP响应，寻找存在模板注入的参数或字段，将包含AngularJS沙箱逃逸代码的恶意Payload注入到响应数据中。

STEP 4

沙箱逃逸与代码执行

受害者的浏览器接收到被篡改的响应，AngularJS 1.5.2引擎解析模板。由于Payload包含逃逸原语，沙箱机制被绕过，导致在受害者浏览器上下文中执行任意JavaScript代码。

STEP 5

会话劫持与控制

执行的恶意代码窃取Session Cookie、LocalStorage数据或执行DOM操作，从而使攻击者能够接管操作员的会话或进一步控制浏览器行为。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/**
 * PoC for CVE-2026-41468: AngularJS 1.5.2 Sandbox Escape
 * Context: Template Injection in Beghelli SicuroWeb
 * Description: This payload demonstrates how to escape the AngularJS sandbox
 * to execute arbitrary JavaScript code (e.g., alert(1)).
 */

// The payload uses known primitives to access the Function constructor
// and execute code outside the sandbox restrictions.

var payload = "{{" +
    "x={'y':''.constructor.prototype};" + // Access Object.prototype
    "x.y.charAt=[].join;" +               // Overwrite a safe function with a generic one
    "$eval('x=alert(1)');" +              // Use $eval to execute arbitrary JS
    "}}";

// In a real attack scenario via MITM:
// 1. Attacker intercepts HTTP response.
// 2. Attacker finds an injection point (e.g., a search box reflecting input).
// 3. Attacker replaces the parameter value with the 'payload' variable.
// 4. The browser parses the response, AngularJS executes 'alert(1)'.

console.log("Payload to inject: " + payload);

影响范围

Beghelli Sicuro24 SicuroWeb (AngularJS 1.5.2)

防御指南

临时缓解措施

鉴于漏洞利用依赖于HTTP明文传输和旧版组件，建议立即将服务迁移至HTTPS以阻断MITM攻击路径，并尽快升级应用内嵌的AngularJS框架至受支持的安全版本。若无法立即升级组件，应部署Web应用防火墙（WAF）以拦截包含AngularJS模板语法（如`{{`）的恶意请求，并限制网络访问以减少相邻攻击面。