Nuclei 漏洞可致签名绕过与代码执行

据Thehackernews消息，开源漏洞扫描程序 Nuclei 被曝存在高危漏洞 CVE-2024-43405，CVSS 评分为 7.4，影响 3.0.0 之后所有版本。 该漏洞源于签名验证和 YAML 解析器处理换行符及多签名方式差异，让攻击者能向模板注入恶意内容，绕过签名检查，甚至执行恶意代码。Nuclei 靠模板扫描找漏洞，支持在主机执行外部代码。云安全公司 Wiz 指出，漏洞根源是模板签名验证，其依赖正则表达式致解析冲突，给攻击者可乘之机。