关于 LocalStack 的漏洞关键信息 概述 文章标题: Hack the Stack with LocalStack: Code Vulnerabilities Explained 作者: Dennis Brinkrolf (Security Researcher) 发布日期: March 2, 2021 漏洞影响 LocalStack版本: 0.12.6 检测到的漏洞: - S5334: OS Command Injection (CVE-2021-32090) - S5144: Server-Side Request Forgery (SSRF) - S5131: Cross-Site Scripting (XSS) (CVE-2021-32091) - S2631: Denial of Service via regular expressions (ReDoS) 技术分析 影响范围: LocalStack 实例通常在内网运行,但这并不意味着不能被远程攻击者利用。 攻击方式: 通过组合不同的漏洞,攻击者可以完全控制 LocalStack 实例并执行任意系统命令。 核心漏洞代码示例 代码注入漏洞: SSRF & XSS 漏洞: 命令注入漏洞: 总结 分析了 LocalStack 中发现的两个代码漏洞及其远程攻击可能性。 强调了开发人员应该意识到这些风险以保护他们的环境并编写安全的代码。