平台
other
组件
crafty-controller
修复版本
4.8.0
CVE-2026-0805 描述了一个在 Crafty Controller 的备份配置组件中发现的输入规避漏洞,属于路径遍历类型。该漏洞允许经过身份验证的远程攻击者利用路径遍历技术进行文件篡改和远程代码执行。受影响的版本包括 Crafty Controller 4.5.0 到 4.8.0。已发布补丁版本 4.8.0。
攻击者可以利用此路径遍历漏洞访问 Crafty Controller 服务器上的任意文件,并对其进行修改。这可能导致敏感信息泄露、系统配置更改,甚至允许攻击者在服务器上执行任意代码。攻击者可能通过构造恶意的备份配置请求,利用路径遍历绕过访问控制机制,访问未经授权的文件。如果攻击者能够执行代码,他们可以完全控制受影响的系统,窃取数据、安装恶意软件或发起进一步的攻击。
目前尚无公开的漏洞利用程序 (PoC),但该漏洞的严重性较高,存在被利用的风险。该漏洞已于 2026 年 1 月 30 日公开。CISA 尚未将其添加到 KEV 目录中。由于该漏洞允许远程代码执行,因此可能成为攻击者的目标。
Organizations utilizing Crafty Controller versions 4.5.0 through 4.8.0, particularly those with remote access enabled or lacking robust authentication controls, are at risk. Shared hosting environments where multiple users share the same Crafty Controller instance are also particularly vulnerable.
disclosure
漏洞利用状态
EPSS
0.05% (14% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Crafty Controller 升级至 4.8.0 版本或更高版本,该版本修复了此漏洞。如果无法立即升级,可以考虑以下临时缓解措施:限制对备份配置组件的访问,仅允许授权用户访问。实施严格的输入验证和清理,以防止攻击者构造恶意的路径。配置 Web 应用防火墙 (WAF) 或代理服务器,以阻止包含路径遍历模式的请求。监控系统日志,以检测可疑活动。
Actualice Crafty Controller a la versión 4.8.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal. La actualización mitigará el riesgo de manipulación de archivos y ejecución remota de código.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-0805 是一个路径遍历漏洞,影响 Crafty Controller 4.5.0–4.8.0 版本。攻击者可以利用此漏洞访问服务器上的任意文件,并可能执行代码。
如果您正在使用 Crafty Controller 4.5.0 到 4.8.0 版本,则可能受到影响。请立即升级至 4.8.0 或更高版本。
最有效的修复方法是升级至 Crafty Controller 4.8.0 或更高版本。如果无法升级,请实施临时缓解措施,例如限制访问和输入验证。
目前尚无公开的漏洞利用程序,但由于该漏洞的严重性,存在被利用的风险。
请查阅 Crafty Controller 官方网站或安全公告页面,以获取有关 CVE-2026-0805 的最新信息。