CVE-2026-28428 是 Talishar 项目中的身份验证绕过漏洞。该漏洞允许未经身份验证的攻击者通过提供空 authKey 参数绕过身份验证机制,从而执行受限的游戏操作。该漏洞影响 Talishar 的所有版本,直到 a9c218efa37756c9e7eed056fbff6ee03f79aefc。已发布修复版本 a9c218efa37756c9e7eed056fbff6ee03f79aefc。
该漏洞的影响是严重的,因为它允许攻击者在 Talishar 游戏中执行未经授权的操作。攻击者可以利用此漏洞发送恶意聊天消息,提交虚假的游戏输入,甚至可能影响其他玩家的游戏体验。由于 Talishar 是一个 fan-made 项目,其用户群体可能相对较小,但该漏洞仍然可能对这些用户造成影响。攻击者无需任何有效凭证即可绕过身份验证,这使得漏洞的利用变得非常简单。
目前没有公开的利用程序,但由于漏洞的简单性,预计未来可能会出现。该漏洞尚未被添加到 CISA KEV 目录中。根据漏洞描述,攻击者只需提供一个空 authKey 参数即可绕过身份验证,这使得漏洞的利用门槛很低。
Players and administrators of Talishar are at risk. Specifically, those relying on the authentication mechanism for game actions are vulnerable. The risk is heightened for environments where the game is deployed without proper security monitoring.
disclosure
漏洞利用状态
EPSS
0.10% (27% 百分位)
CISA SSVC
CVSS 向量
缓解此漏洞的最佳方法是立即升级到修复版本 a9c218efa37756c9e7eed056fbff6ee03f79aefc。如果无法立即升级,可以考虑暂时禁用 Talishar 的游戏端点功能,或者实施更严格的身份验证检查。由于 Talishar 是一个 fan-made 项目,可能没有官方的 WAF 或代理规则可用。建议开发者审查代码,确保身份验证逻辑的正确性,并避免使用宽松的比较操作。
将 Talishar 更新到 a9c218efa37756c9e7eed056fbff6ee03f79aefc 或更高版本。此版本修复了身份验证绕过漏洞。更新将阻止未授权的攻击者执行游戏操作。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-28428 是 Talishar 项目中的一个身份验证绕过漏洞,允许攻击者通过提供空 authKey 参数绕过身份验证,执行受限操作。
如果您正在使用 Talishar 的版本低于 a9c218efa37756c9e7eed056fbff6ee03f79aefc,则您可能受到此漏洞的影响。
请立即升级到修复版本 a9c218efa37756c9e7eed056fbff6ee03f79aefc。
目前没有公开的利用程序,但由于漏洞的简单性,预计未来可能会出现。
由于 Talishar 是一个 fan-made 项目,可能没有官方公告。建议关注 Talishar 项目的官方渠道获取最新信息。