acme.sh 存在 RCE 漏洞，已经被国产 HiCA 利用

什么？我又被白嫖了？

我还用过这家。。。记得宣称的就是只准使用 acme.sh ，不能用 gui 等方式签发。

专利的内容是显示付款信息，不是 rce

OP 里提到的 issue 里有人抓到了脚本，目前还没啥大问题 (见 https://github.com/acmesh-official/acme.sh/issues/4659#issuecomment-1583615376)

看了眼，并不是恶性利用，只是为了显示付款信息和收款二维码之类的

@v2yllhwa 因为只有 acme.sh 支持这么搞。标准的 acme 协议不支持这种。

@codehz 是的，「显示付款信息」是动机，「利用 RCE 」是为了完成动机所做的行为。

@NanoApe 我觉得还是应该警惕，今天可以显示付款信息、二维码，以后就有能力做「匿名数据收集」，再往后如果哪天「 CA 受到外部压力，奉命收集用户私钥，搞双证书体系」也是有可能的。

@codehz 但是问题是如果 rce 修掉之后就无法显示付款信息了。 实际上这个专利的实现依赖于 rce 。

其实专利上面有说这个 rce


"[0014] ACME 标准请求和响应格式：根据 RFC8555 之定义，ACME 的请求与响应格式均为
application/jose+json 格式，其作为 json 结构的进一步约束版本，所有的响应与请求参数
都有严格的类型要求，ACME 服务器扩展的任何非 RFC8555 标准字段，均无法被客户端所理
解，不论是展示或者去请求所返回的字段。
[0015] 但是一部分 ACME 客户端，在处理异常之时，会将消息字段或者完整的响应 body 进
行原始输出。这样就给了操作空间来扩展交互界面，例如想展示非 application/jose+json
数据给客户端，甚至数据经过特殊 unicode 处理（用 unicode 字符拼出一张二维码），在客户
端实现二维码的展示也是可行的。"

是一部分客户端异常处理输出的时候的问题。

拿着这么大的洞居然只用来显示二维码，太感人了

@Yadomin 玩脱了 CA 会被吊销吧

这个烂脚本近八千行还 gpl 3.0 协议...

有没有人可以给一下这家公司的 CA 序列号或者信任链，我在本地吊销一下以保证我的安全

@patrickyoung 根证书 USERTrust 中间证书 Sectigo

他们的出发点是好的... 但是就是不知道这个世界的“规则”到底是什么。为什么就不提个 pr 呢...

同求该公司 CA 的证书信息，我需要本地吊销

@Yadomin 毕竟他们是 CA 公司，不会用来做真正的攻击行为。

@patrickyoung
@LeviMarvin
他们是 Sectigo 分销，好像没有自己的中间证书。市面上很多家 CA 都是 Sectigo 的，你吊销了 Sectigo 证书那会误伤很多网站

@Yadomin 主要是用的人信任你才会用你的接口

acme.sh 为什么这么大的程序要用 shell 脚本来写？感觉用 sh 处理各类外来数据本身就很难搞可靠

太搞了，换 certbot 了

草台班子论再次生效