CVE-2026-23536 描述了 Feast Feature Server 的 /read-document 端点中的一个安全问题,允许未经身份验证的远程攻击者读取服务器进程可访问的任何文件。通过发送精心构造的 HTTP POST 请求,攻击者可以绕过预期的访问限制,从而可能检索敏感的系统文件、应用程序配置和凭据。该漏洞影响 Feast Feature Server,已于 2026 年 3 月 20 日公开。
此任意文件访问漏洞可能导致严重的安全风险。攻击者可以利用此漏洞读取服务器上的敏感数据,例如配置文件、数据库凭据、API 密钥和源代码。这些信息可用于进一步攻击系统,例如横向移动到其他服务器、窃取数据或完全控制受影响的系统。攻击者还可以利用此漏洞读取日志文件,以获取有关系统配置和用户活动的有用信息。由于该漏洞无需身份验证,因此攻击者可以从外部网络访问受影响的系统,从而扩大了攻击范围。
该漏洞已公开披露,并且可能存在公开的利用程序。目前尚无已知的活跃攻击活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。该漏洞已添加到 CISA KEV 目录中,表明其具有中等概率被利用。建议持续监控安全公告和漏洞数据库,以获取有关此漏洞的最新信息。
Organizations deploying Feast Feature Server in production environments are at risk. Specifically, those running unpatched instances or those with limited access controls around the /read-document endpoint are particularly vulnerable. Shared hosting environments where Feast Feature Server is deployed alongside other applications may also be at increased risk due to potential cross-tenant access.
• linux / server:
journalctl -u feast-feature-server -g "/read-document"• generic web:
curl -I <feast_feature_server_url>/read-document• generic web:
grep -r "/read-document" /var/log/nginx/access.logdisclosure
漏洞利用状态
EPSS
0.09% (25% 百分位)
CISA SSVC
目前,官方修复程序尚未发布。作为临时缓解措施,建议禁用 /read-document 端点或限制其访问权限,仅允许受信任的客户端访问。此外,应审查 Feast Feature Server 的配置,以确保没有暴露敏感文件或目录。实施 Web 应用程序防火墙 (WAF) 规则,以检测和阻止恶意 HTTP POST 请求,可以进一步降低风险。监控 Feast Feature Server 的日志文件,以查找任何可疑活动,并及时采取行动。
Actualice Red Hat OpenShift AI (RHOAI) a la última versión disponible. Esto solucionará la vulnerabilidad de lectura de archivos arbitrarios no autenticada en el Feast Feature Server.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-23536 是 Feast Feature Server 的 /read-document 端点中的一个安全漏洞,允许未经身份验证的攻击者读取服务器上的任意文件。
如果您正在使用 Feast Feature Server,则可能受到此漏洞的影响。建议尽快采取缓解措施。
目前没有官方修复程序。作为临时缓解措施,建议禁用 /read-document 端点或限制其访问权限。
目前尚无已知的活跃攻击活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。
请查阅 Feast Feature Server 的官方安全公告或文档,以获取有关此漏洞的最新信息。
CVSS 向量