CRS(Claude Relay Service)项目最近曝出了一个极其严重的漏洞,这个漏洞允许攻击者通过几行代码直接进入CRS后台,无需任何鉴权。这意味着攻击者可以创建新的密钥或者攻击下游用户。这个漏洞的复现非常容易,所有使用CRS服务的用户都应该警觉并立即采取行动。漏洞的严重性在于,攻击者可以伪造token来登录用户账户,甚至可以劫持已有的账户管理中的baseurl和apikey,进而返回给下游用户任意内容,包括伪造的工具调用请求。此外,CRS 3.0版本还存在一个接口可以被利用来进行XSS攻击,影响所有已登录的管理员,可能导致管理员密码被窃取。这些漏洞的存在,不仅威胁到用户的数据安全,也暴露了CRS项目代码质量的问题。建议所有用户立即升级或者迁移到其他服务,避免使用CRS项目。同时,开发者应该加强对开源项目的代码审查和安全测试,确保项目的安全性。

标签: none

评论已关闭