漏洞描述 Node-RED是构建物联网(IOT,Internet of Things)应用程序的一个工具,其重点是简化代码块的“连接”以执行任务。Node-RED存在未授权远程命令执行漏洞。由于Node-RED应用程序未强制执行任何类型的身份验证,因此可以未授权公开访问,攻击者通过组合特定的Flows以在目标系统上执行任意命令。此外,未授权滥用其他Node还可实现SSRF、本地文件包含、信息泄漏等攻击。
相关漏洞推荐 POC node-red-ui-base-anyfile-read: Node-RED ui_base 任意文件读取漏洞 Node-Red 未授权访问漏洞 node-red-contrib-humagic 3.0.0任意文件读取(CVE-2021-25864) Node-RED存在未授权访问漏洞 Node-RED ui_base 任意文件读取漏洞(CVE-2021-3223)