漏洞总结:Shared local webhook allowlist lets low-privilege users send arbitrary requests to allowlisted internal services 漏洞概述 CVE ID: CVE-2024-41689 严重程度: 8.0 / 10 (Moderate) CVSS v3 向量: 描述: 该漏洞允许低权限用户通过 Webhook 功能向管理员已允许的内部服务发送任意 HTTP 请求。由于 Webhook 配置是全局的且不受用户权限限制,攻击者可构造恶意请求触发内部服务的部署、执行 API 或自动化流程,可能导致远程代码执行(RCE)。 影响范围 受影响版本: 4.8.0 修复版本: 无(截至报告时) 攻击向量: 网络 攻击复杂度: 高 所需权限: 低(普通用户即可利用) 用户交互: 无 影响范围: 变更(Confidentiality, Integrity, Availability 均为低) 修复方案 当前无官方补丁。 建议管理员限制 Webhook 配置权限,避免将敏感内部服务加入允许列表。 对内部服务增加认证机制,防止未授权访问。 POC 代码 利用步骤简述 1. 管理员添加内部自动化服务到 。 2. 普通用户登录并创建 Webhook,指向该内部服务。 3. 设置 Webhook URL 为部署/执行端点(如 Node-RED)。 4. 发送测试请求或构造 POST 请求触发执行。 5. 观察成功信号(Wallos 返回 或服务日志)。 6. 若服务支持命令执行,则可实现 RCE。 影响 普通用户可滥用 Webhook 功能向内部服务发送任意请求。 可能导致内部服务状态被修改、数据泄露或远程代码执行。 风险取决于目标服务是否提供部署、脚本或命令执行能力。