漏洞总结:Webhook 未授权远程代码执行 (INSECURE_NO_AUTH) 漏洞概述 在 的 Webhook 适配器中,存在一个名为 的特殊配置值。当 Webhook 路由将此值设为密钥时,会完全禁用 HMAC 签名验证。攻击者无需任何认证即可通过 POST 请求触发任意命令执行(RCE)。 影响范围 受影响组件: 触发条件: Webhook 路由配置了 。 后果**: 任何网络客户端均可向 Webhook 端点发送恶意 Payload,导致远程代码执行、文件读写及 API 访问。 修复方案 在应用启动时,如果检测到配置了 ,应抛出 强制报错,除非显式设置了环境变量 。同时,在启用该配置时应发出警告。 关键代码提取 1. 漏洞利用代码 (Proof of Concept) 2. 修复代码建议 (Recommended Fix)