IPBUF安全漏洞报告
English
CVE-2026-43633 CVSS 10.0 严重

CVE-2026-43633 HestiaCP Web终端未认证RCE漏洞

披露日期: 2026-05-19
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-43633
漏洞类型
反序列化漏洞
CVSS评分
10.0 严重
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
HestiaCP

相关标签

RCE反序列化HestiaCPWeb终端RootCVE-2026-43633

漏洞概述

HestiaCP版本1.9.0至1.9.4的Web终端组件存在严重的反序列化漏洞。该漏洞源于PHP和Node.js之间的会话格式不匹配,允许未认证的远程攻击者通过在HTTP头中注入精心构造的数据,欺骗Node.js组件反序列化受信任的会话值,从而导致系统级的任意代码执行。

技术细节

该漏洞的根源在于HestiaCP的Web终端组件中PHP后端与Node.js前端之间的会话数据格式不匹配。PHP使用其特有的序列化格式存储会话,而Node.js组件在读取这些数据时缺乏严格的格式校验,直接尝试反序列化。攻击者可以利用这一差异,构造包含恶意PHP序列化对象的HTTP请求头。当Node.js处理这些头部信息时,会错误地将攻击者的数据反序列化为受信任的会话对象。由于未实施身份认证检查,且Web终端进程通常拥有Root权限,攻击者即可在服务器上执行任意系统命令,完全控制受影响主机。

攻击链分析

STEP 1
1. 信息收集
攻击者扫描互联网,识别运行HestiaCP且启用了Web终端组件(端口8083)的目标。
STEP 2
2. 载荷构造
攻击者分析PHP与Node.js的会话处理机制,构造包含恶意序列化对象的数据,该对象旨在Node.js反序列化时触发代码执行。
STEP 3
3. 发送请求
攻击者向目标服务器发送特制的HTTP请求,将恶意载荷注入到HTTP头部(如Cookie或自定义头部),无需任何身份认证。
STEP 4
4. 反序列化触发
Node.js Web终端组件接收到请求并尝试解析会话数据。由于格式不匹配,它将恶意载荷反序列化为可执行对象。
STEP 5
5. 获得权限
反序列化过程触发漏洞,攻击者获得Root级别的Shell访问权限,从而完全控制服务器。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Exploit Concept for CVE-2026-43633 # Attacker sends a crafted HTTP header containing a malicious serialized object. target_url = "http://target-host:8083" # Malicious payload designed to abuse the session format mismatch # This would typically be a PHP serialized object triggering a gadget chain malicious_payload = "O:8:stdClass:0:{}" headers = { "User-Agent": "Mozilla/5.0", "Cookie": f"PHPSESSID={malicious_payload}", # Example injection point "X-Custom-Header": malicious_payload } try: response = requests.get(target_url, headers=headers, timeout=5) print(f"Status Code: {response.status_code}") print("Response body:") print(response.text) except Exception as e: print(f"Error: {e}")

影响范围

HestiaCP 1.9.0
HestiaCP 1.9.1
HestiaCP 1.9.2
HestiaCP 1.9.3
HestiaCP 1.9.4

防御指南

临时缓解措施
建议立即检查HestiaCP版本。若无法立即升级,应禁用Web终端功能以阻断攻击面。同时,通过防火墙限制对管理后台的IP访问,并监控服务器日志中是否存在异常的反序列化活动或未授权的命令执行记录。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表