CVE-2026-25635描述了Calibre电子书管理系统在9.2.0版本之前的版本中发现的路径遍历漏洞。该漏洞允许攻击者在用户拥有写入权限的任何位置写入任意文件,在Windows环境下,可能导致远程代码执行。受影响的版本包括Calibre 9.2.0及更早版本,建议立即升级至9.2.0版本以修复此安全问题。
该路径遍历漏洞允许攻击者利用Calibre的CHM阅读器功能,通过构造恶意请求,在服务器文件系统中写入任意文件。在Windows环境下,攻击者可以利用此漏洞将恶意文件写入启动文件夹,从而在用户下次登录时执行恶意代码,实现远程代码执行。攻击者可能利用此漏洞窃取敏感数据、篡改系统配置,甚至完全控制受感染的系统。由于Calibre被广泛应用于电子书管理和转换,该漏洞的潜在影响范围非常广泛。
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,攻击者可能会积极寻找并利用该漏洞。建议密切关注安全社区的动态,及时获取最新的威胁情报。该漏洞的严重程度评定为高,需要尽快采取措施进行修复。
Users of Calibre e-book manager, particularly those on Windows systems, are at risk. Shared hosting environments where Calibre is installed and accessible to multiple users are especially vulnerable, as an attacker could potentially compromise the entire host.
• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.Action.Path -like "*Calibre*"}• windows / supply-chain:
Get-ChildItem -Path "$env:AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" -Filter "*Calibre*.*"• other: Monitor Calibre installation directory for unexpected file creations, especially executable files.
disclosure
漏洞利用状态
EPSS
0.08% (24% 百分位)
CISA SSVC
CVSS 向量
修复此漏洞的首要措施是立即升级Calibre至9.2.0或更高版本。如果无法立即升级,可以尝试限制Calibre用户对文件系统的写入权限,仅允许其访问必要的目录。此外,可以考虑使用Web应用防火墙(WAF)或代理服务器来过滤恶意请求,阻止攻击者利用路径遍历漏洞。在升级后,请验证Calibre的安装目录和配置文件是否受到保护,确保没有未授权的访问权限。
Actualice Calibre a la versión 9.2.0 o superior. Esta versión corrige la vulnerabilidad de path traversal que permite la escritura arbitraria de archivos. La actualización se puede realizar a través del gestor de paquetes o descargando la nueva versión desde el sitio web oficial.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-25635描述了Calibre电子书管理系统9.2.0之前的版本中存在的路径遍历漏洞,允许攻击者在用户拥有写入权限的任何位置写入任意文件,可能导致远程代码执行。
如果您正在使用Calibre 9.2.0或更早版本,则可能受到此漏洞的影响。请立即升级至9.2.0或更高版本。
最有效的修复方法是升级至Calibre 9.2.0或更高版本。如果无法立即升级,请限制用户对文件系统的写入权限。
目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,攻击者可能会积极寻找并利用该漏洞。
请访问Calibre官方网站或安全公告页面,查找关于CVE-2026-25635的官方公告和修复信息。