Plateforme
java
Composant
go-fastdfs-web
Corrigé dans
1.3.1
1.3.2
1.3.3
1.3.4
1.3.5
1.3.6
1.3.7
1.3.8
La vulnérabilité CVE-2026-6105 affecte le composant go-fastdfs-web, plus précisément l'interface doInstall située dans le fichier src/main/java/com/perfree/controller/InstallController.java. Cette faille permet une manipulation d'autorisation, potentiellement à distance, ce qui pourrait compromettre la sécurité du système. Les versions concernées sont 1.3.0 à 1.3.7 incluses. La vulnérabilité a été divulguée publiquement et aucune solution de correctif officielle n'est disponible à ce jour.
Une vulnérabilité d'autorisation incorrecte a été identifiée dans perfree go-fastdfs-web jusqu'à la version 1.3.7. La vulnérabilité réside dans l'interface doInstall située dans le fichier src/main/java/com/perfree/controller/InstallController.java. Un attaquant distant pourrait exploiter cette faille pour obtenir un accès non autorisé aux ressources ou exécuter des actions. La sévérité de la vulnérabilité est notée 7.3 sur l'échelle CVSS. Le manque de réponse du fournisseur à l'alerte précoce concernant cette vulnérabilité publiquement disponible aggrave la situation, laissant les utilisateurs exposés à un risque important. Une exploitation réussie pourrait compromettre l'intégrité et la confidentialité des données stockées et gérées par le système go-fastdfs-web.
La vulnérabilité d'autorisation incorrecte dans go-fastdfs-web permet à un attaquant distant d'exploiter l'interface doInstall sans authentification ou autorisation appropriée. La divulgation publique de la vulnérabilité augmente le risque d'exploitation, car les attaquants connaissent désormais la faille et peuvent développer et déployer des exploits. Le manque de réponse du fournisseur indique un possible manque de maintenance ou de support pour le logiciel, ce qui pourrait laisser les utilisateurs sans correctifs de sécurité ni mises à jour. La nature distante de l'exploitation signifie que la vulnérabilité peut être exploitée depuis n'importe quel endroit disposant d'un accès réseau à l'endroit où go-fastdfs-web est exécuté. Les utilisateurs sont fortement conseillés de prendre des mesures immédiates pour protéger leurs systèmes.
Organizations deploying go-fastdfs-web in production environments, particularly those with exposed instances accessible from the internet, are at significant risk. Shared hosting environments where multiple users share the same go-fastdfs-web instance are also vulnerable, as a compromise of one user could potentially lead to the compromise of others. Systems with legacy configurations or those lacking robust network security controls are especially susceptible.
• java / server:
grep -r 'doInstall' /path/to/go-fastdfs-web/src/main/java/• generic web:
curl -I http://your-server/install | grep -i '200 OK'• generic web:
curl -I http://your-server/install/ | grep -i '403 Forbidden'disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 15%)
CISA SSVC
Vecteur CVSS
Compte tenu de l'absence de correctif fourni par le fournisseur, la mitigation immédiate consiste à mettre à niveau vers une version ultérieure de go-fastdfs-web si disponible. Si la mise à niveau n'est pas possible, il est recommandé de mettre en œuvre des contrôles d'accès stricts dans l'environnement où go-fastdfs-web est exécuté. Cela inclut la configuration de pare-feu, la restriction de l'accès à l'interface doInstall aux seuls utilisateurs autorisés et la surveillance continue du système à la recherche de signes d'exploitation. Il est également conseillé de revoir et de renforcer les politiques de sécurité existantes afin d'assurer une défense en profondeur contre les attaques potentielles. Le manque de réponse du fournisseur souligne l'importance de l'autoprotection et des pratiques de sécurité proactives.
Actualice a una versión corregida de go-fastdfs-web. Revise la configuración de autorización para asegurar que solo los usuarios autorizados puedan acceder a la funcionalidad de instalación. Implemente controles de acceso robustos para prevenir accesos no autorizados.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Cela signifie qu'un utilisateur peut accéder à des fonctions ou à des données auxquelles il ne devrait pas avoir accès.
Mettez en œuvre des contrôles d'accès stricts et surveillez l'activité du système.
Le manque de réponse est préoccupant et souligne l'importance de l'autoprotection.
Si vous utilisez une version de go-fastdfs-web antérieure à la version 1.3.8, vous êtes probablement vulnérable.
Consultez l'entrée CVE-2026-6105 dans les bases de données de vulnérabilités telles que le NIST NVD.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.