平台
other
组件
crafty-controller
修复版本
4.8.0
CVE-2026-0963 描述了 Crafty Controller 中 File Operations API Endpoint 组件的一个输入规避漏洞,属于路径遍历类型。该漏洞允许经过身份验证的远程攻击者利用路径遍历技术进行文件篡改和远程代码执行。受影响的版本包括 4.7.0 到 4.8.0。已发布补丁版本 4.8.0,建议立即升级。
该路径遍历漏洞的潜在影响非常严重。攻击者可以利用此漏洞读取、修改甚至删除服务器上的任意文件,从而获得对系统的完全控制权。攻击者可以上传恶意文件,执行任意代码,窃取敏感数据,甚至完全接管服务器。由于该漏洞允许远程代码执行,因此攻击者可以利用它进行横向移动,攻击网络中的其他系统。该漏洞的爆发半径取决于服务器的配置和权限,但潜在的损害是巨大的,可能导致数据泄露、服务中断和声誉受损。
目前尚无公开的漏洞利用程序 (PoC),但该漏洞的严重程度和潜在影响表明,它可能成为攻击者的目标。该漏洞已于 2026 年 1 月 30 日公开披露。由于其高危等级,建议尽快采取缓解措施。CISA 尚未将其添加到 KEV 目录,但应密切关注相关信息。
Organizations using Crafty Controller in environments where the File Operations API Endpoint is exposed to authenticated users are at risk. This includes deployments with custom integrations or applications that rely on this API. Legacy configurations with weak access controls are particularly vulnerable.
disclosure
漏洞利用状态
EPSS
0.13% (32% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Crafty Controller 升级至 4.8.0 版本或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制对 File Operations API Endpoint 的访问,仅允许授权用户访问;实施严格的文件访问控制,限制用户对敏感文件的访问权限;使用 Web 应用防火墙 (WAF) 过滤恶意请求,阻止路径遍历攻击;监控系统日志,检测可疑活动。升级后,请验证漏洞是否已成功修复,例如通过尝试访问受保护的文件并确认访问被拒绝。
将 Crafty Controller 更新到 4.8.0 或更高版本。此版本包含路径遍历漏洞的修复。更新将缓解文件篡改和远程代码执行的风险。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-0963 描述了 Crafty Controller 4.7.0–4.8.0 版本中 File Operations API Endpoint 组件的一个输入规避漏洞,允许攻击者进行文件篡改和远程代码执行。
如果您正在使用 Crafty Controller 4.7.0 到 4.8.0 版本,则您可能受到影响。请立即升级至 4.8.0 版本或更高版本。
最有效的修复方法是升级至 Crafty Controller 4.8.0 版本或更高版本。如果无法立即升级,请实施临时缓解措施,例如限制访问和实施严格的文件访问控制。
目前尚无公开的漏洞利用程序,但由于其严重性,建议尽快采取缓解措施。
请查阅 Crafty Controller 官方安全公告,以获取有关此漏洞的更多信息和修复指南。