資安雷達 2026 年 5 月 5 日

2026-05-05 — Nix/Lix 本地提權、ArchiveBox CVE-2026-42601 RCE、Thymeleaf CVE-2026-41901 沙箱繞過

primary=https://discourse.nixos.org/t/security-advisory-local-privilege-escalation-in-lix-and-nix/77407 primary=https://github.com/advisories/GHSA-3h23-7824-pj8r primary=https://github.com/advisories/GHSA-c9ph-gxww-7744

Charlie · github.com/charlie0227 · 1 min read

Nix 與 Lix 守護行程緩衝區溢位導致本地提權(GHSA-vh5x-56v6-4368)

NixOS Discourse · 2026-05-05

NixOS 安全團隊發布緊急安全公告,Nix 和 Lix 的守護行程(daemon)實作存在緩衝區溢位漏洞,可讓具備授權的本地攻擊者提升至守護行程使用者的權限,實現任意程式碼執行。CVE 編號待分配,Nix 端的 GHSA ID 為 GHSA-vh5x-56v6-4368。Guix 不受影響。

漏洞機制

漏洞存在於 Nix/Lix 守護行程的 IPC 訊息處理路徑中,攻擊者透過緩衝區溢位覆蓋記憶體,配合 ASLR 弱化技術(ASLR weakening techniques)繞過位址空間配置隨機化保護。公告特別說明:利用難度取決於目標系統的 ASLR 有效性,若 ASLR 強度不足則更容易被利用。

攻擊前提條件:攻擊者必須是被 `allowed-users` 或 `trusted-users` 設定明確授權的本地使用者,才能可靠地觸發漏洞。這限制了攻擊面——純粹的外部攻擊者無法直接利用此漏洞,但在多使用者環境中(如共享的 Nix 建置伺服器或 CI 系統),風險依然顯著。

受影響版本

  • Nix2.24.4 及以上版本
  • Lix2.93.0 及以上版本
  • Guix:不受影響

修補版本

分支修補版本
Nix 主線2.34.7
Nix 2.33.x2.33.6
Nix 2.32.x2.32.8
Nix 2.31.x–2.28.x各分支對應修補版
Lix 2.93.x2.93.4
Lix 2.94.x2.94.2
Lix 2.95.x2.95.2

建議立即更新至對應的修補版本。若無法立即更新,可暫時限制 `allowed-users` 與 `trusted-users` 的設定,降低攻擊面。

原始來源:NixOS Security Advisory

ArchiveBox 嚴重 RCE:AddView 端點未驗證爬取設定允許注入任意命令(CVE-2026-42601)

GitHub Security Advisories · 2026-05-05

GitHub Security Advisory GHSA-3h23-7824-pj8r 披露 ArchiveBox 開源網頁封存工具存在嚴重遠端程式碼執行漏洞(CVSSv3: 9.3),編號 CVE-2026-42601。漏洞位於 `/add/` 端點(`core/views.py` 的 AddView),目前尚無官方修補版本。

漏洞機制

AddView 接受一個 `config` JSON 參數,這個設定未經驗證直接合併進爬取設定(crawl config),隨後作為環境變數傳遞給封存外掛程式(archive plugins)執行。攻擊者可注入惡意設定欄位(如 `YTDLP_ARGS_EXTRA`、`GALLERYDL_ARGS_EXTRA`),利用這些工具內建的 `--exec` 旗標實現任意命令執行。

POST /add/
Content-Type: application/x-www-form-urlencoded

url=http://example.com&config={"YTDLP_ARGS_EXTRA": "--exec 'rm -rf /tmp/test'"}

加重漏洞嚴重性的因素:

  • 端點標記為 `@csrf_exempt`,移除了 CSRF 保護層
  • PUBLIC_ADD_VIEW=True(bookmark 功能的常見設定)時,無需認證即可觸發
  • 受影響版本為 <= 0.8.6rc0,目前所有穩定版本均受影響

緩解措施

在官方修補版本發布前,建議採取以下緩解措施:

  • 設定 PUBLIC_ADD_VIEW=False(預設即為 False,確認未被意外啟用)
  • 在網路層限制 `/add/` 端點的存取,僅允許受信任 IP
  • 監控 ArchiveBox 進程的異常子進程啟動行為

原始來源:GHSA-3h23-7824-pj8r

Thymeleaf 沙箱繞過(CVE-2026-41901):伺服端模板注入可達任意程式碼執行

GitHub Security Advisories · 2026-05-05

GitHub Security Advisory GHSA-c9ph-gxww-7744 披露 Java 模板引擎 Thymeleaf 的沙箱保護機制存在繞過漏洞,編號 CVE-2026-41901(CVSSv3: 9.0)。漏洞允許伺服端模板注入(SSTI)攻擊者在受限(sandboxed)模板上下文中執行任意 Java 運算式。

漏洞機制

Thymeleaf 的沙箱機制設計用來阻止受限上下文中執行危險運算式。然而,函式庫未能正確識別特定語法結構為未授權語法,導致精心構造的運算式得以繞過沙箱限制。攻擊向量是 SSTI:若開發者將未淨化的使用者輸入傳入 Thymeleaf 模板引擎,且該輸入在受限模板上下文中被求值,攻擊者即可執行任意 Java 程式碼。

Thymeleaf 在 Spring MVC 生態系中廣泛用於伺服端渲染,攻擊面通常出現在將使用者輸入直接用作模板片段(template fragments)或動態模板路徑的應用中。

受影響版本

  • org.thymeleaf:thymeleaf ≤ 3.1.4.RELEASE
  • org.thymeleaf:thymeleaf-spring5 ≤ 3.1.4.RELEASE
  • org.thymeleaf:thymeleaf-spring6 ≤ 3.1.4.RELEASE

修補版本與緩解

升級至 Thymeleaf 3.1.5.RELEASE 修補此漏洞。若無法立即升級:

  • 確保所有用戶可控的輸入在傳入模板引擎前經過嚴格淨化
  • 避免將用戶輸入用作動態模板路徑或模板片段名稱
  • 審查所有使用 `th:text`、`th:utext` 或 `[[...]]` 表達式的地方,確認無未驗證輸入

原始來源:GHSA-c9ph-gxww-7744

End of article

More on this topic

資安雷達
2026-05-04 — Gotenberg 三個 CVE、Hickory DNS 快取中毒、SS7 電信監控
5 月 4, 2026 · 2 min read
資安雷達
2026-05-03 — Rust 進駐 Pixel Baseband、Sentry SAML Bypass、go-pkgz/auth、uutils 審計、Apache Polaris
5 月 3, 2026 · 2 min read
資安雷達
2026-05-02 — Apache OpenNLP 三個 CVE、curl 9 CVE 批量修補、lightning 供應鏈攻擊
5 月 2, 2026 · 2 min read
0
Would love your thoughts, please comment.x
()
x