Tmr Blog
·
Claude Code Router远程命令执行漏洞
内容提要
错误的CORS配置导致任意命令执行,已在v1.0.34版本修复。攻击者可通过恶意网站跨域调用接口,窃取用户密钥或篡改配置。建议关闭CORS或检查Host头,并自动生成APIKEY以增强安全性。
关键要点
-
错误的CORS配置导致任意命令执行,已在v1.0.34版本修复。
-
攻击者可通过恶意网站跨域调用接口,窃取用户密钥或篡改配置。
-
服务配置了 access-control-allow-origin: *,任意网页可以直接跨域调用接口。
-
攻击场景包括用户在浏览器打开恶意网站,服务在后台持续运行。
-
恶意网站可以窃取用户所有AI供应商的密钥。
-
可以修改模型配置,诱导模型执行命令。
-
模型调用接口鉴权应使用 ANTHROPIC_AUTH_TOKEN,而非固定的 test。
-
未检查服务HTTP HOST,支持使用任意Host头访问服务。
-
漏洞修复建议包括关闭CORS、检查Host头和自动配置APIKEY。
-
服务启动时应检查Host头为localhost或127.0.0.1,拒绝其他请求。
-
服务创建配置时自动生成APIKEY,提升安全性。
延伸解读
CORS配置的风险
错误的CORS配置使得任意网页可以跨域调用接口,攻击者可利用这一点窃取用户密钥或篡改配置。用户在浏览器中打开恶意网站时,服务在后台持续运行,极易受到攻击。建议开发者在服务中严格控制CORS设置,以降低风险。
APIKEY的安全性
文章提到自动生成APIKEY以增强安全性,这一措施可以有效防止未授权访问。开发者应确保在服务启动时检查APIKEY的存在性,并在缺失时自动生成,以保护用户数据不被泄露。
Host头的检查
未检查HTTP Host头的服务存在安全隐患,攻击者可以伪造Host头进行恶意请求。建议在服务启动时严格检查Host头,确保只允许localhost或127.0.0.1的请求,以防止潜在的跨域攻击。
延伸问答
Claude Code Router的漏洞是什么?
漏洞是由于错误的CORS配置导致任意命令执行,已在v1.0.34版本中修复。
攻击者如何利用这个漏洞?
攻击者可以通过恶意网站跨域调用接口,窃取用户密钥或篡改配置。
如何增强Claude Code Router的安全性?
建议关闭CORS、检查Host头,并自动生成APIKEY以提升安全性。
CORS配置错误的具体表现是什么?
服务配置了access-control-allow-origin: *,任意网页可以直接跨域调用接口。
如何检查服务的HTTP HOST?
服务应检查Host头为localhost或127.0.0.1,拒绝其他请求。
模型调用接口的鉴权方式是什么?
模型调用接口应使用ANTHROPIC_AUTH_TOKEN鉴权,而不是固定的test。
