CVE-2026-3839 是 Unraid 7.2.3 版本中发现的路径遍历漏洞。该漏洞允许远程攻击者绕过身份验证机制,无需提供有效凭据即可访问系统资源。受影响的版本包括 7.2.3。已发布补丁,建议用户尽快更新。
该路径遍历漏洞允许未经授权的攻击者访问 Unraid 服务器上的敏感文件和目录。攻击者可以通过构造恶意的请求,利用 auth-request.php 文件中的漏洞,绕过身份验证,从而执行未经授权的操作。潜在的影响包括数据泄露、系统配置更改,甚至可能导致远程代码执行,具体取决于服务器上运行的其他服务和配置。由于无需身份验证即可利用,该漏洞的风险较高,可能导致严重的系统安全事件。
该漏洞由 ZDI-CAN-28912 报告,已公开披露。目前尚无公开的利用程序,但由于漏洞的严重性和易利用性,预计未来可能会出现。建议密切关注安全社区的动态,并及时采取必要的安全措施。该漏洞已发布于 2026-03-13。
Organizations and individuals utilizing Unraid NAS devices, particularly those with exposed web interfaces or limited network segmentation, are at risk. Shared hosting environments where multiple users share an Unraid server are especially vulnerable, as a compromise of one user's account could potentially lead to broader system access.
• linux / server:
journalctl -u unraid | grep -i "auth-request.php"• linux / server:
ps aux | grep -i "unraid"• generic web:
Use curl to test the /auth-request.php endpoint with various path traversal payloads (e.g., ../etc/passwd).
curl http://<unraid_ip>/auth-request.php?file=../../../../etc/passwddisclosure
漏洞利用状态
EPSS
0.40% (60% 百分位)
CISA SSVC
最有效的缓解措施是立即将 Unraid 服务器升级到已修复的版本。如果升级不可行,可以考虑以下临时缓解措施:限制对 auth-request.php 文件的访问,使用防火墙规则阻止来自不受信任来源的请求,并加强 Unraid 服务器的整体安全配置。监控系统日志,查找异常活动,并定期审查用户权限。在升级后,请验证身份验证机制是否正常工作,确保漏洞已成功修复。
将 Unraid 更新到 7.2.3 之后的版本,以修复 auth-request.php 文件中的路径遍历漏洞。请参阅版本说明以获取有关更新的更多详细信息。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-3839 是 Unraid 7.2.3 版本中发现的路径遍历漏洞,允许攻击者绕过身份验证访问系统资源。
如果您运行 Unraid 7.2.3 版本,则可能受到影响。请立即更新至修复版本。
最有效的修复方法是升级到已修复的版本。如果无法升级,请实施临时缓解措施,如限制文件访问。
目前尚无公开利用程序,但由于漏洞的严重性,预计未来可能会出现。
请访问 Unraid 官方网站或安全公告页面,查找有关 CVE-2026-3839 的详细信息和修复指南。
CVSS 向量