漏洞报告摘要
报告ID: #1387366
提交时间: 2021年11月1日 7:23 UTC
报告状态: 已解决
严重程度: 高(7.5分)
漏洞类型: 加密问题 - 通用
赏金: 250美元
技术细节
漏洞描述
研究人员发现Kubernetes社区选举网站elections.k8s.io在使用Flask框架时配置了弱会话密钥。具体问题在于该网站将SECRET_KEY设置为字面字符串"N/A",而非按安全要求使用随机字符字符串。
代码证据
从Elekto源代码中发现的配置问题:
1
2
3
4
5
|
# Encryption Key
#
# This is used by the Flask server and should be set to a random character
# string, please do not deploy before doing this!.
SECRET_KEY = env('APP_KEY', 'test')
|
验证方法
使用Flask-Unsign工具验证漏洞存在:
1
2
3
4
5
6
7
8
9
|
% curl https://elections.k8s.io -Is | grep cookie
set-cookie: session=eyJfcGVybWFuZW50Ijp0cnVlfQ.YX-V3g.NET76NNJbweb_qagyfYl2_7TDJg; Expires=Thu, 02 Dec 2021 07:23:10 GMT; HttpOnly; Path=/
% flask-unsign -u -c "eyJfcGVybWFuZW50Ijp0cnVlfQ.YX-V3g.NET76NNJbweb_qagyfYl2_7TDJg"
[*] Session decodes to: {'_permanent': True}
[*] No wordlist selected, falling back to default wordlist..
[*] Starting brute-forcer with 8 threads..
[+] Found secret key after 8192 attempts
'N/A'
|
会话结构分析
实际会话cookie包含以下内容:
1
|
{'_permanent': True, 'authentication': 'gho_lhhuQuI2mXXCnTPT2N8...', 'csrf_token': '500ef973780f085ccd6090efa41a6...', 'state': 'd4U9sRlU9jMXgR....'}
|
影响评估
潜在风险
弱密钥可能允许攻击者进行任意会话操纵。虽然Elekto系统在会话中注入的是GitHub OAuth令牌而非用户ID,降低了直接冒充风险,但仍可能被用于:
- 跨站请求伪造(CSRF)攻击
- 投票或认证流程的异常攻击
- 会话令牌操纵
缓解因素
- 会话中包含的都是不可猜测的私有令牌
- 没有类似"role=admin"的可篡改值直接危害应用完整性
处理时间线
- 2021年11月1日: 漏洞报告提交
- 2021年11月4日: 状态变更为"已分类",确认为高严重性
- 2021年11月9日: 向研究人员发放奖金(各125美元)
- 2025年8月20日: 报告状态变更为"已解决"
- 2025年9月19日: 报告公开披露
项目方回应
Kubernetes团队确认该报告质量优秀,并采取了修复措施。虽然该问题被认为不在赏金计划范围内(属于社区管理工具),但仍奖励研究人员以表彰其高质量的漏洞报告。