Magic Wormhole: "wormhole receive" 允许任意本地文件覆盖

该漏洞的严重影响在于攻击者可以完全控制接收方的系统。通过覆盖 ~/.ssh/authorized_keys 文件，攻击者可以添加自己的公钥，从而无需密码即可通过 SSH 登录到目标系统。覆盖 .bashrc 文件则可能修改用户的环境变量，执行恶意代码，或篡改用户 shell 的行为。需要强调的是，攻击者必须是文件的发送方，通过 wormhole send 命令发起攻击，中继服务器和接收方其他参与者不受影响，这得益于 wormhole 协议的设计。这种攻击模式类似于通过恶意文件覆盖系统配置文件来获取权限的常见攻击手法。

Users who rely on magic-wormhole for secure file transfer, particularly those using it to transfer sensitive data or manage SSH keys, are at risk. Systems with legacy configurations or those running older versions of Python where upgrading is difficult are also more vulnerable. Shared hosting environments where multiple users share the same system and SSH keys could experience widespread compromise if exploited.

• python / system:

python3 -c 'import magic_wormhole; print(magic_wormhole.__version__)'

• python / system: Check for unusual file modifications in ~/.ssh/authorized_keys and .bashrc using git diff or similar version control tools. • python / system: Monitor process execution for magic_wormhole with unusual command-line arguments. • python / system: Review system logs for errors or warnings related to file overwrites during wormhole receive operations.

1. 2026-03-13Disclosure

   disclosure

1. 已保留2026-03-10
2. 发布日期2026-03-13
3. EPSS 更新日期2026-03-23

最有效的缓解措施是立即升级到 magic-wormhole 0.23.0 或更高版本。如果升级过程出现问题，可以考虑回滚到之前的稳定版本，但请注意这并不能完全消除漏洞风险。此外，可以采取一些额外的安全措施，例如限制用户对敏感文件的写入权限，并定期检查系统文件的完整性。由于该漏洞依赖于 wormhole send 命令，可以考虑限制或监控对该命令的使用，并审查发送的文件来源。目前没有已知的 Sigma 或 YARA 规则可以专门检测此漏洞，但可以监控文件系统中的异常写入操作。