CVE-2026-28679 描述了 HomeGallery 软件中的路径遍历漏洞。该漏洞允许攻击者绕过安全检查,下载 HomeGallery 媒体源目录之外的敏感系统文件。此问题影响 HomeGallery 版本小于或等于 1.21.0 的用户。已在 1.21.0 版本中修复此漏洞。
攻击者利用此路径遍历漏洞,可以访问并下载 HomeGallery 服务器上的任意文件,包括配置文件、数据库备份或其他敏感数据。这可能导致信息泄露、权限提升,甚至可能允许攻击者执行恶意代码。攻击者可以通过构造恶意的文件请求,诱使用户下载这些敏感文件。由于 HomeGallery 通常用于存储个人照片和视频,因此泄露的文件可能包含用户的个人信息和隐私数据,造成严重的隐私风险。此漏洞的潜在影响范围取决于服务器上存储的数据类型和敏感程度。
目前尚无公开的漏洞利用程序 (PoC),但该漏洞的严重性较高,存在被利用的风险。该漏洞已于 2026 年 3 月 6 日公开披露。由于路径遍历漏洞通常容易被利用,因此建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录,但应密切关注相关安全公告。
Organizations and individuals using self-hosted instances of HomeGallery, particularly those with legacy configurations or inadequate file permission settings, are at risk. Shared hosting environments where multiple users share the same server are also potentially vulnerable if HomeGallery is installed.
disclosure
漏洞利用状态
EPSS
0.06% (18% 百分位)
CISA SSVC
最有效的缓解措施是立即将 HomeGallery 升级至 1.21.0 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制 HomeGallery 媒体源目录的访问权限,确保只有授权用户才能访问。实施 Web 应用防火墙 (WAF) 规则,以检测和阻止可疑的文件请求。审查 HomeGallery 的配置文件,确保没有存储敏感信息。定期扫描服务器上的文件,以检测未经授权的访问或修改。在升级后,请验证文件访问权限是否正确配置,并确认漏洞已成功修复。
Actualice HomeGallery a la versión 1.21.0 o superior. Esta versión corrige la vulnerabilidad de path traversal que permite la lectura de archivos arbitrarios.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-28679 是 HomeGallery 软件中发现的路径遍历漏洞,允许攻击者访问服务器上的敏感文件。
如果您正在使用 HomeGallery 版本小于或等于 1.21.0,则可能受到此漏洞的影响。
升级至 HomeGallery 1.21.0 或更高版本以修复此漏洞。
目前尚无公开的漏洞利用程序,但由于漏洞的严重性,存在被利用的风险。
请访问 Home-Gallery.org 的官方网站或 GitHub 仓库,查找有关此漏洞的公告。
CVSS 向量