免费扫描
HIGHCVE-2026-6105CVSS 7.3

perfree go-fastdfs-web doInstall InstallController.java 权限不当

平台

java

组件

go-fastdfs-web

修复版本

1.3.1

1.3.2

1.3.3

1.3.4

1.3.5

1.3.6

1.3.7

1.3.8

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月
在NVD查看
保存

CVE-2026-6105 是一个存在于 go-fastdfs-web 组件中,影响版本 1.3.0 到 1.3.7 的安全漏洞。该漏洞源于 InstallController.java 的 doInstall 接口中的授权问题,攻击者可以通过远程方式绕过授权机制,可能导致未经授权的访问和操作。目前,该漏洞已公开披露,建议用户尽快评估风险并采取缓解措施。No official patch available.

Java / Maven

检测此 CVE 是否影响你的项目

上传你的 pom.xml 文件,立即知道是否受影响。

上传 pom.xml支持的格式: pom.xml · build.gradle

影响与攻击场景

在 perfree go-fastdfs-web 的 1.3.7 及更早版本中,发现了一个不当授权的漏洞。该漏洞位于文件 src/main/java/com/perfree/controller/InstallController.java 中的 doInstall 接口中。远程攻击者可能利用此漏洞获取对资源的未经授权的访问或执行未经授权的操作。该漏洞的严重程度在 CVSS 规模上评为 7.3。供应商对该漏洞的公开披露未作出响应,这加剧了情况,使用户面临重大风险。攻击成功可能导致存储和管理在 go-fastdfs-web 系统中的数据的机密性和完整性受损。

利用背景

go-fastdfs-web 中不当授权的漏洞允许远程攻击者在没有适当的身份验证或授权的情况下利用 doInstall 接口。该漏洞的公开披露增加了利用的风险,因为攻击者现在知道该漏洞并可以开发和部署利用程序。供应商的未响应情况表明软件维护或支持可能不足,这可能会导致用户没有安全补丁或更新。利用的远程性质意味着该漏洞可以从任何具有网络访问权限的地点进行利用,前提是该地点运行着 go-fastdfs-web。强烈建议用户立即采取措施保护其系统。

哪些人处于风险中翻译中…

Organizations deploying go-fastdfs-web in production environments, particularly those with exposed instances accessible from the internet, are at significant risk. Shared hosting environments where multiple users share the same go-fastdfs-web instance are also vulnerable, as a compromise of one user could potentially lead to the compromise of others. Systems with legacy configurations or those lacking robust network security controls are especially susceptible.

检测步骤翻译中…

• java / server:

grep -r 'doInstall' /path/to/go-fastdfs-web/src/main/java/

• generic web:

curl -I http://your-server/install | grep -i '200 OK'

• generic web:

curl -I http://your-server/install/ | grep -i '403 Forbidden'

攻击时间线

  1. Disclosure

    disclosure

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露
报告2 份威胁报告

EPSS

0.05% (15% 百分位)

CISA SSVC

利用情况none
可自动化yes
技术影响partial

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R7.3HIGHAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredNone攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeUnchanged超出受影响组件的影响范围ConfidentialityLow敏感数据泄露风险IntegrityLow数据未授权篡改风险AvailabilityLow服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
无 — 无需认证,无需凭证即可利用。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
未改变 — 影响仅限于脆弱组件本身。
Confidentiality
低 — 可访问部分数据。
Integrity
低 — 攻击者可修改部分数据,影响有限。
Availability
低 — 部分或间歇性拒绝服务。

受影响的软件

组件go-fastdfs-web
供应商perfree
影响范围修复版本
1.3.0 – 1.3.01.3.1
1.3.1 – 1.3.11.3.2
1.3.2 – 1.3.21.3.3
1.3.3 – 1.3.31.3.4
1.3.4 – 1.3.41.3.5
1.3.5 – 1.3.51.3.6
1.3.6 – 1.3.61.3.7
1.3.7 – 1.3.71.3.8

弱点分类 (CWE)

CWE-285CWE-266

时间线

  1. 已保留
  2. 发布日期
  3. 修改日期
  4. EPSS 更新日期
未修复 — 披露已43天

缓解措施和替代方案

由于供应商未提供修复程序,因此立即的缓解措施包括在可用情况下升级到 go-fastdfs-web 的更新版本。如果无法升级,建议在运行 go-fastdfs-web 的环境中实施严格的访问控制。这包括配置防火墙、将对 doInstall 接口的访问限制为授权用户,以及持续监控系统是否存在利用迹象。此外,建议审查和加强现有的安全策略,以确保对潜在攻击进行分层防御。供应商的未响应情况强调了自我保护和积极安全实践的重要性。

修复方法翻译中…

Actualice a una versión corregida de go-fastdfs-web.  Revise la configuración de autorización para asegurar que solo los usuarios autorizados puedan acceder a la funcionalidad de instalación.  Implemente controles de acceso robustos para prevenir accesos no autorizados.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-6105 是什么 — go-fastdfs-web 中的漏洞?

这意味着用户可以访问他们不应该访问的函数或数据。

go-fastdfs-web 中的 CVE-2026-6105 是否会影响我?

实施严格的访问控制并监控系统活动。

如何修复 go-fastdfs-web 中的 CVE-2026-6105?

未回应令人担忧,并强调了自我保护的重要性。

CVE-2026-6105 是否正在被积极利用?

如果您使用的是 go-fastdfs-web 的 1.3.8 之前的版本,则很可能容易受到攻击。

在哪里可以找到 go-fastdfs-web 关于 CVE-2026-6105 的官方安全通告?

请参阅 NIST NVD 等漏洞数据库中的 CVE-2026-6105。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE