关键漏洞信息 受影响的产品 NutzBoot (Web3j starter + demo module) 受影响版本 2.6.0-SNAPSHOT (current dev branch) Any deployment that exposes 漏洞类型 缺少财务交易API上的身份验证/不适当的访问控制 根因 注册为 缺少 , CSRF 保护或任何授权检查,直接使用本地存储的帐户密码和个人发送事务。 影响 任何未认证的攻击者可以耗尽服务器配置的以太币钱包或将任意数值转移至攻击者控制的地址。 漏洞描述 同一Web3j演示模块提供便利的端点触发转账,不存在用户身份检查,任何HTTP客户端可通过单一HTTP调用花费配置帐户的资金。 漏洞位置 REST endpoint: 复现步骤 1. 启动至少有一个本地配置帐户的Web3j演示应用。 2. 发起HTTP GET请求,无需认证或CSRF令牌。 3. 服务器使用保存的密码签署和广播转账,并返回转账哈希。 建议修复措施 1. 不要将该辅助API用于公共部署,至少需要强身份验证、授权、速率限制和审计日志记录。 2. 限制HTTP方法为POST,并强制使用CSRF令牌或HMAC签名。 3. 执行服务器端的目的地址验证并引入转账的审批工作流。 4. 避免在进程内存中存储钱包密码,要求操作员在每次转账前手动解锁账户。