📋 漏洞概述

GitBucket 4.23.1 因弱密钥生成和文件上传缺陷，导致未认证远程代码执行漏洞。

📋 基础信息

🔬 漏洞根因

GitBucket 使用 Blowfish 加密算法保护会话和插件签名，但其密钥生成依赖于 Java 的 `SecureRandom` 且种子复杂度不足（推测为时间戳或固定种子），导致攻击者可通过暴力枚举恢复密钥。同时，Git LFS 端点上载的 JAR 文件未进行严格的签名验证，攻击者可将恶意插件以 JAR 形式上载至插件目录，服务端自动加载并执行恶意代码。

🎯 攻击场景

1. 攻击者通过多次请求 GitBucket 登录页面，收集服务器返回的 Blowfish 加密令牌（如会话 cookie）； 2. 利用离线暴力破解，枚举弱种子生成的 Blowfish 密钥（推测密钥空间小于 2^32，可在数小时内恢复）； 3. 构造包含任意命令的恶意 JAR 插件，覆盖其签名（用已恢复的密钥重新签名），或利用未签名上载通道（如 git-lfs 端点）直接上传 JAR； 4. 触发插件加载（例如通过访问 `/plugins` 或特定 API）； 5. 服务端执行 JAR 中的攻击逻辑，导致远程代码执行。

💥 漏洞影响

攻击者可在未认证情况下实现远程代码执行（RCE），完全控制 GitBucket 服务器，窃取源代码、仓库数据、凭据，并可横向移动至内网其他系统。

🛡️ 修复建议

立即升级至 GitBucket 4.24.0 及以上版本（该版本修复了密钥生成和文件验证逻辑）。临时缓解措施：限制对 git-lfs 端点的外部访问；在反向代理层面禁用 `/plugins/` 上传目录的脚本执行；替换默认 Blowfish 密钥配置为随机强密钥。

📎 参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2018-25332
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-25332
• 原始来源（NVD-Latest）

🚨 威胁评估

⚠️ 本文由漏洞情报系统自动生成，仅供安全研究与防御参考。生成时间: 2026-05-18 08:06 | 来源: NVD-Latest