漏洞概述

严重性： 中 类型： 漏洞

在CurseForge启动器中发现了一个远程代码执行漏洞，该漏洞涉及一个可通过浏览器访问的、无需认证的本地WebSocket API。此缺陷允许攻击者在未经认证的情况下在本地机器上执行任意代码。该漏洞已被修补，目前尚未发现已知的野外利用。此问题主要影响CurseForge启动器的用户，这是一款流行的游戏模组管理工具。

由于其本地特性以及需要本地访问权限，利用复杂度为中等。使用CurseForge启动器的欧洲组织，尤其是游戏或软件开发领域的组织，如果该漏洞被利用，可能会受到影响。缓解措施包括及时应用官方补丁并限制本地WebSocket API的访问权限。拥有庞大游戏社区和软件产业的国家，如德国、法国和英国，更有可能受到影响。鉴于其为本地攻击向量且无需认证，但无法进行远程网络利用，其严重性被评估为中等。防御者应优先修补并监控本地WebSocket接口是否存在未授权访问尝试。

技术摘要

CurseForge启动器中的漏洞是一个远程代码执行缺陷，利用了用户浏览器可访问的、无需认证的本地WebSocket API。该启动器在本地机器上暴露了一个无需认证的WebSocket接口，允许任何本地进程或潜在的恶意浏览器脚本发送命令，从而导致任意代码执行。此类漏洞尤其危险，因为它绕过了典型的认证控制，并且可以被同一机器上的任何本地用户或恶意代码触发。

该漏洞在Reddit的netsec社区被披露，讨论不多，但已得到开发者确认并修复。缺乏已知的野外利用表明主动利用有限，但由于RCE漏洞的性质，滥用的可能性仍然很大。受影响的软件CurseForge启动器广泛用于管理游戏模组，这意味着在系统上运行该启动器的用户如果未打补丁，则可能面临风险。该漏洞不需要远程网络访问，但需要本地访问权限或本地执行代码的能力，例如通过恶意浏览器脚本或本地恶意软件。这种本地WebSocket API暴露代表了启动器架构中的一个设计弱点，允许攻击者绕过安全边界并在主机系统上执行任意命令。补丁很可能限制或认证了对该WebSocket接口的访问，从而降低了风险。鉴于中等的严重性评级，该漏洞构成了中等风险，平衡了本地利用的简易性与缺乏远程攻击载体之间的关系。

潜在影响

对于欧洲组织而言，此漏洞的影响在很大程度上取决于其环境中是否存在以及如何使用CurseForge启动器。涉及游戏、软件开发或数字内容创作并使用CurseForge启动器的组织可能面临本地系统被入侵的风险。利用此漏洞的攻击者可以执行任意代码，如果被入侵的机器具有网络访问权限，则可能导致数据盗窃、安装持久性恶意软件或在网络内横向移动。

尽管该漏洞需要本地访问权限，但恶意内部人员、受感染的浏览器或恶意软件可以利用它来提升权限或维持持久性。这可能会扰乱运营、泄露敏感数据或损害系统完整性。由于需要本地访问权限，其影响在一定程度上受到限制，但欧洲游戏社区和开发环境中模组工具的广泛使用增加了攻击面。此外，端点安全控制较弱的组织可能更容易受到攻击。缺乏已知的利用表明直接威胁较低，但未来被利用的可能性仍然存在，特别是如果攻击者开发针对此漏洞的自动化工具。

缓解建议

组织应立即确保所有CurseForge启动器实例都更新到解决了WebSocket RCE漏洞的最新修补版本。除了打补丁之外，通过实施本地防火墙规则或端点安全策略来限制哪些进程或用户可以与启动器的WebSocket接口交互，从而限制本地WebSocket API的访问权限，这一点至关重要。

监控本地网络端口和WebSocket连接是否存在异常活动，有助于检测利用此漏洞的尝试。采用应用程序白名单和浏览器安全控制来防止未经授权的脚本在本地运行，可以降低通过恶意浏览器代码被利用的风险。应配置端点检测与响应解决方案，以针对源自启动器或相关WebSocket交互的可疑进程执行发出警报。对用户进行有关运行不受信任的浏览器脚本或软件风险的教育可以进一步减少暴露。最后，组织应审查其关于软件安装和使用的内部政策，以限制在敏感环境中使用CurseForge等模组工具。

受影响国家

德国、法国、英国、荷兰、瑞典、波兰