Se ha descubierto una severa vulnerabilidad de seguridad en el cliente API de insomnio ampliamente utilizado que permite a los atacantes ejecutar código arbitrario a través de la inyección de plantillas maliciosas.
La vulnerabilidad, rastreada como CVE-2025-1087 y asignó una puntuación crítica de CVSS de 9.3, afecta la popular herramienta de prueba API desarrollada por Kong y sigue siendo explotable en la última versión 11.2.0 a pesar de múltiples parches intentados.
La vulnerabilidad explota el motor de plantilla de Nunjucks Insomnia, que se utiliza para procesar variables de entorno y contenido dinámico dentro de las solicitudes de API.
A diferencia de los ataques de inyección de plantilla tradicionales del lado del servidor, esta vulnerabilidad del lado del cliente se puede activar a través de dos vectores de ataque primarios: importar archivos de colección maliciosos o enviar solicitudes HTTP a servidores comprometidos que respondan con cookies diseñadas que contienen expresiones de plantilla.
Analistas de Tantasec Marcio Almeida y Justin Steven identificado La vulnerabilidad durante las pruebas de penetración de API de rutina y descubrió que el problema plantea riesgos significativos para los desarrolladores y profesionales de seguridad que importan regularmente colecciones de API compartidas o prueban contra puntos finales potencialmente maliciosos.
Los investigadores encontraron que los atacantes pueden lograr la ejecución de código remoto con una interacción mínima del usuario, lo que requiere que las víctimas envíen dos solicitudes HTTP consecutivas a un servidor malicioso.
El descubrimiento representa un desarrollo particularmente preocupante para la comunidad de ciberseguridad, ya que los probadores de penetración y desarrolladores de API utilizaron con frecuencia el insomnio que a menudo trabajan con fuentes de datos no confiables.
La vulnerabilidad convierte efectivamente en una herramienta de seguridad confiable en un vector de ataque potencial, destacando la importancia de asegurar entornos de desarrollo y prueba.
Mecanismo de explotación a través de la inyección de galletas maliciosas
El aspecto más insidioso de esta vulnerabilidad se encuentra en su método de explotación basado en cookies, que prácticamente no requiere interacción del usuario más allá de las actividades normales de prueba de API.
Cuando Insomnia envía una solicitud HTTP a un servidor malicioso, el servidor puede responder con un encabezado de cookie que contiene expresiones de plantilla de Nunjucks peligrosas.
Encabezado de cookie (fuente-Tantosec)
Estas expresiones se almacenan automáticamente en el frasco de cookies de Insomnia y se procesan mediante el motor de plantilla durante las solicitudes posteriores.
El ataque aprovecha el rango de JavaScript. Método de constructor para escapar de la plantilla sandbox y ejecutar comandos del sistema.
Una estructura de carga útil típica aparece como: {{range.Constructor (“return request (‘Child_process’). ExecSync (‘Command’)”) ()}} donde la expresión de plantilla evalúa el código de JavaScript arbitrario dentro del entorno Node.js.
Cuando una víctima envía una solicitud de seguimiento a cualquier servidor, la cookie maliciosa se representa y el comando integrado se ejecuta, lo que permite a los atacantes lograr un compromiso completo del sistema.
El equipo de desarrollo de Kong ha intentado múltiples mitigaciones desde que se informó por primera vez la vulnerabilidad, incluido el bloqueo de la cadena “requiere” y limitar los módulos disponibles a través de una caja de arena de trabajador web.
Sin embargo, cada solución ha sido pasada con éxito por los investigadores. El bypass más reciente descubierto por Tantosec utiliza el método de constructor Joiner. En lugar de la gama.
La resiliencia de la vulnerabilidad contra los parches subraya el desafío arquitectónico fundamental de implementar de manera segura las plantillas del lado del cliente con datos no confiables.
A pesar de ser reportado por primera vez públicamente en 2020, el problema permaneció sin abordar durante años hasta que la investigación de Tantosec elevó su gravedad al demostrar capacidades de explotación remota.
Se recomienda a los usuarios que eviten importar archivos no confiables, deshabilitar la funcionalidad de las cookies cuando sea posible y auditar cuidadosamente cualquier expresión de plantilla antes de usar hasta que se implementa una solución integral.
¿Eres de los equipos SOC/DFIR! – Interactuar con malware en el sandbox y encontrar IOC relacionados. – Solicitar prueba gratuita de 14 días
