CVE-2026-25803:3DP-MANAGER硬编码默认凭据导致VPN管理后台完全接管

admin
admin
admin
0
文章
0
评论
2026-03-27 03:57:27 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: CVE-2026-25803是3DP-MANAGER开源工具在2.0.1及以下版本中存在的硬编码默认凭据漏洞,CVSSv3.1评分为9.8。该漏洞源于管理员账户的用户名和密码均被硬编码为admin,攻击者可直接利用此默认凭据登录系统,获得完整管理控制权。漏洞已在2.0.2版本中修复,建议受影响用户立即升级并修改密码。 综合评分: 90 文章分类: 漏洞分析,WEB安全,渗透测试,红队,安全运营

cover_image

CVE-2026-25803:3DP-MANAGER 硬编码默认凭据导致 VPN 管理后台完全接管

原创

CVE-SEC CVE-SEC

CVE-SEC

2026年3月19日 06:00 四川

CVE-2026-25803:3DP-MANAGER 硬编码默认凭据导致 VPN 管理后台完全接管

漏洞概述

3DP-MANAGER 是一个基于 Node.js/TypeScript 构建、以 Docker 容器方式部署的开源工具,专为 3x-ui 面板的 VPN 入站连接自动化管理而设计,支持 VLESS、VMess、Shadowsocks、Trojan 等多种协议配置。CVE-2026-25803 是该工具在 2.0.1 及以下版本中存在的硬编码默认凭据漏洞,CVSS v3.1 评分 9.8(Critical)。

漏洞的本质极为直接:管理员账户的用户名和密码均被硬编码为字符串 admin,任何人只需尝试这组默认凭据即可登录系统,获得对 VPN 隧道和系统设置的完整管理控制权。该漏洞已在 2.0.2 版本中修复。

技术要点

漏洞根源在于 server/src/auth/auth.service.ts 及 server/src/main.ts 中,应用初始化时将管理员账户的用户名和密码均硬编码为字符串 "admin",未从安全的外部配置或环境变量中读取,且不强制要求用户在首次使用时修改默认密码。

攻击者只需向登录接口发送如下请求:

POST /auth/login
Content-Type: application/json

{"username":"admin","password":"admin"}

目标系统即返回 200 状态码并携带认证 Token,攻击者随即获得完整管理员权限。整个过程无需任何技术手段,不存在任何利用门槛。

获得管理员权限后,攻击者可执行以下操作:管理所有 VPN 入站配置、修改系统设置、查看订阅链接、控制流量转发规则,实现对 VPN 管理后台的完全接管。

2.0.2 修复版本将硬编码凭据替换为环境变量动态配置方案(ADMIN_LOGINADMIN_PASSWORD 环境变量),并在安装脚本中通过 openssl rand -base64 生成随机密码,从根本上消除了该问题。

影响范围

  • 受影响版本:3DP-MANAGER 2.0.1 及以下所有版本
  • 修复版本:2.0.2 及之后版本
  • 受影响用户:所有部署了受影响版本且未手动修改默认密码的用户
  • 典型部署场景:代理服务器运营者、VPN 服务提供者使用 3DP-MANAGER 管理 3x-ui 面板入站连接
  • 由于该工具主要用于 VPN/代理管理,暴露实例集中于代理服务器部署较多的地区

修复建议

  1. 立即升级至 3DP-MANAGER 2.0.2 或更高版本,通过环境变量配置强随机密码
  2. 对于已有部署,立即通过设置界面手动修改管理员密码,使用高强度随机密码
  3. 检查系统访问日志,确认是否存在使用默认凭据 admin/admin 的未授权访问记录
  4. 通过防火墙限制 Web 管理界面仅对可信 IP 开放,避免直接暴露于公网
  5. 定期审计管理员账户列表,删除非必要账户

参考链接

  • NVD 漏洞详情:https://nvd.nist.gov/vuln/detail/CVE-2026-25803
  • 官方安全公告:https://github.com/denpiligrim/3dp-manager/security/advisories/GHSA-5×57-h7cw-9jmw
  • 修复 Commit:https://github.com/denpiligrim/3dp-manager/commit/f568de41de97dd1b70a963708a1ee18e52b9d248

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:CVE-SEC CVE-SEC CVE-SEC《CVE-2026-25803:3DP-MANAGER 硬编码默认凭据导致 VPN 管理后台完全接管》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0