漏洞概述 该漏洞涉及在转发代理命令之前需要身份验证的问题。具体来说,Master websocket会话在转发命令到Agent节点之前需要进行身份验证,以防止未授权的Agent-targeted命令通过现有的身份验证处理程序进行代理。 影响范围 Master websocket会话:未授权的会话可以转发命令到Agent节点。 Agent-targeted命令:未授权的命令可以通过现有的身份验证处理程序进行代理。 修复方案 身份验证:确保Master websocket会话在转发命令到Agent节点之前进行身份验证。 命令处理:通过现有的身份验证处理程序处理未授权的Agent-targeted命令,而不是进行代理。 POC代码 测试 未成功运行,因为 未在此环境中安装。 其他信息 PR链接:Require authentication before forwarding agent commands #35 状态:Open 参与者:1 participant 评论:3emo0 在 Jun 10 评论 总结 该漏洞要求在进行命令转发之前进行身份验证,以防止未授权的命令通过现有的身份验证处理程序进行代理。修复方案包括确保Master websocket会话的身份验证和处理未授权的Agent-targeted命令。