AngularJS 模板注入导致客户端 RCE 漏洞总结 漏洞概述 该报告披露了针对工业管理软件 SicuroWeb(Sicuro24 平台)的 3 个 0-day 漏洞,通过链式利用实现了无需用户交互的客户端远程代码执行(RCE)。 核心原理:利用 AngularJS 15.2 的模板注入(Template Injection)绕过沙箱(Sandbox Escape),结合中间人攻击(MITM)注入恶意脚本,并利用缺失的内容安全策略(CSP)实现持久化。 关键 CVE: CVE-2025-22191:模板注入(原分类为 CWE-79/CWE-1336)。 CVE-2025-41468:沙箱逃逸(原分类为 CWE-94/CWE-1104)。 CVE-2025-25199:持久化利用(缺失 CSP)。 CVSS 评分:9.3 (Critical)。 影响范围 受影响软件:SicuroWeb (Sicuro24 平台)。 开发商:Beghelli。 环境:能源供应控制等工业和 OT 环境。 利用条件: 无需认证(Pre-authentication)。 无需用户交互(No user interaction)。 利用中间人攻击(MITM)拦截 HTTP 流量(应用未强制 HTTPS)。 浏览器端缺失 CSP 保护。 修复方案 官方状态:截至报告发布,无补丁可用(No Patch)。 缓解建议: 部署内容安全策略(CSP)以限制脚本执行。 强制使用 HTTPS 防止中间人篡改。 * 升级 AngularJS 版本(15.2 版本存在已知沙箱逃逸问题)。 利用代码 (POC) 1. 模板注入与沙箱逃逸 Payload 2. Mitmproxy 自动化注入脚本 该脚本用于在 HTTP 流量中自动注入包含沙箱逃逸和持久化逻辑的恶意 HTML。 3. 持久化加载器逻辑