平台
nodejs
组件
terriajs-server
修复版本
4.0.4
4.0.3
CVE-2026-27818 是 terraijs-server 中的一个验证漏洞,允许攻击者代理未明确允许的域名。此漏洞可能导致攻击者绕过代理限制,从而访问敏感资源或执行恶意操作。受影响的版本包括 terraijs-server 的所有版本,直至 4.0.2。建议立即升级到 4.0.3 版本以解决此问题。
该漏洞源于 terraijs-server 的域名验证逻辑缺陷。验证仅检查主机名是否以允许的域名结尾,而未进行更严格的检查。这意味着,如果 example.com 被允许,攻击者可以注册 maliciousexample.com 并通过 terriajs-server 代理内容,从而绕过预期的代理限制。攻击者可以利用此漏洞访问内部资源、窃取数据或发起进一步的攻击。由于该漏洞允许代理任意域名,其潜在影响范围广泛,可能影响到整个网络的安全。
目前尚无公开的利用程序 (PoC),但该漏洞的潜在影响较高,建议尽快修复。该漏洞已于 2026 年 2 月 26 日公开,并被添加到 NVD 数据库中。由于该漏洞允许绕过代理限制,因此存在被恶意利用的风险。
Organizations using terrajs-server for proxying web traffic, particularly those with sensitive data or critical services, are at risk. Shared hosting environments where multiple users share a terrajs-server instance are also particularly vulnerable, as a compromise of one user's account could potentially affect others.
• nodejs / server:
ps aux | grep terrajs-server• nodejs / server:
find / -name "proxyableDomains" -type f• generic web:
Check terrajs-server logs for requests to unexpected or unauthorized domains. Look for patterns indicating proxy bypass attempts.
• generic web:
Review terrajs-server configuration files for overly permissive proxyableDomains settings.
disclosure
漏洞利用状态
EPSS
0.10% (26% 百分位)
CISA SSVC
最有效的缓解措施是升级到 terraijs-server 4.0.3 或更高版本,该版本修复了此漏洞。如果无法立即升级,可以考虑以下临时缓解措施:严格审查和更新 proxyableDomains 配置文件,确保只允许必要的域名。实施更严格的输入验证,防止恶意域名被添加到配置文件中。使用 Web 应用防火墙 (WAF) 或代理服务器来过滤和阻止可疑的代理请求。监控 terraijs-server 的日志,查找异常的代理活动。
将 TerriaJS-Server 更新到 4.0.3 或更高版本。此版本修复了代理允许列表中的域名验证绕过漏洞。可以通过 npm 包管理器进行更新。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-27818 是 terraijs-server 中的一个验证漏洞,允许攻击者绕过代理限制,代理未明确允许的域名。
如果您的 terraijs-server 版本低于 4.0.3,则可能受到此漏洞的影响。
升级到 terraijs-server 4.0.3 或更高版本以修复此漏洞。
目前尚无公开的利用程序,但存在被恶意利用的风险。
请查阅 terraijs-server 的官方安全公告或 GitHub 仓库以获取更多信息。