平台
nodejs
组件
@siteboon/claude-code-ui
修复版本
1.24.1
1.24.0
CVE-2026-31861 描述了 @siteboon/claude-code-ui 中的命令注入漏洞。该漏洞允许攻击者通过构造恶意的用户 Git 配置信息,在服务器上执行任意操作系统命令。受影响的版本包括 1.23.0 及更早版本。建议用户尽快升级至 1.24.0 版本以修复此安全问题。
该命令注入漏洞的潜在影响非常严重。攻击者可以利用此漏洞在服务器上执行任意代码,从而完全控制受影响的系统。攻击者可以窃取敏感数据,安装恶意软件,甚至利用该系统发起进一步的攻击。由于该漏洞可以通过 JWT 绕过身份验证,攻击者无需有效凭证即可利用此漏洞。如果攻击者能够利用 VULN-01 进一步绕过 JWT 验证,则风险将进一步增加。这可能导致数据泄露、系统被破坏以及其他严重的后果。
目前尚无公开的漏洞利用代码,但该漏洞的严重性较高,且存在 JWT 绕过可能性,因此存在被利用的风险。该漏洞已于 2026 年 3 月 10 日公开披露。建议密切关注安全社区的动态,并及时采取必要的安全措施。
Organizations using @siteboon/claude-code-ui in their Node.js applications, particularly those relying on JWT authentication for access control, are at risk. Development teams using this package in CI/CD pipelines or automated deployment systems are also vulnerable if they haven't implemented robust input validation. Shared hosting environments where multiple applications share the same server are especially susceptible, as a compromise of one application could lead to the compromise of others.
• nodejs / server:
ps aux | grep '/api/user/git-config' | grep -i 'gitName'| grep -i 'gitEmail'• nodejs / server:
journalctl -u your-node-app -g 'api/user/git-config' --since "1 hour ago"• generic web:
curl -I 'your-server.com/api/user/git-config?gitName=;ls' # Check for command execution in response headersdisclosure
patch
漏洞利用状态
EPSS
0.05% (16% 百分位)
CISA SSVC
修复此漏洞的首要措施是立即升级至 @siteboon/claude-code-ui 1.24.0 或更高版本。如果无法立即升级,可以考虑以下缓解措施:首先,严格审查并验证 /api/user/git-config 端点接收的所有用户输入,确保输入不包含恶意命令字符。其次,实施更严格的 JWT 身份验证机制,防止 JWT 绕过。第三,使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意请求,阻止包含潜在恶意命令的请求到达服务器。最后,监控服务器日志,查找任何可疑活动,并及时响应。
升级 Cloud CLI 到 1.24.0 或更高版本。 此版本修复了 Shell 命令注入漏洞。 可以通过从官方网站下载最新版本或使用相应的包管理器来执行升级。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-31861 是 @siteboon/claude-code-ui 中的命令注入漏洞,允许攻击者通过用户 Git 配置端点执行任意命令。
如果您正在使用 @siteboon/claude-code-ui 的 1.23.0 或更早版本,则可能受到影响。
立即升级至 @siteboon/claude-code-ui 1.24.0 或更高版本。
目前尚无公开的漏洞利用代码,但由于漏洞的严重性,存在被利用的风险。
请访问 @siteboon 的官方网站或 GitHub 仓库,查找相关安全公告。