关键信息 影响的产品 Orion-ops (server component) 提交者 sh7err@vEcho 影响的版本 <= master commit 5925824997a3109651bbde07460958a7be249ed1 (没有官方修复发布) 漏洞类型 不当授权导致敏感信息泄露 (CWE-285) 漏洞原因 认证的 REST 端点允许任何已登录用户访问存储的 SSH 密钥 ID 和对应的内部文件路径。 未强制执行 检查,导致任何会话都可能枚举所有存储的 SSH 密钥。 方法接受任何密钥 ID 并返回下载令牌,未检查请求者是否为密钥的所有者。 影响 攻击者可下载所有注册的 SSH 私钥、冒充自动化服务器连接到生产主机、绕过 Orion-ops 实施的任何保护,并进一步在受害基础设施内部进行横向移动。 代码分析 概念验证 1. 以任何非管理员用户身份(如 demo 账户)登录。 2. 请求 收集密钥 ID。 3. 使用 生成下载令牌,使用密钥 ID 和 。 4. 通过 下载私钥。 建议的修复措施 将所有机器密钥管理 API 限制为只有管理员角色可访问。 发布下载令牌时,验证请求用户是否有权限访问特定密钥,并在 方法中再次进行检查。 考虑使用硬件支持的密钥加密存储的密钥,以确保 API 层不会返回原始密钥材料给客户端。