CVE-2026-40184描述了TREK旅行规划器中的一个未授权访问漏洞。该漏洞允许攻击者在未经身份验证的情况下访问上传的照片,可能导致敏感信息泄露。该漏洞影响TREK 1.0.0及早于2.7.2的版本,已在2.7.2版本中修复。
攻击者可以利用此漏洞访问未经授权的照片,这些照片可能包含旅行计划、个人照片或其他敏感信息。如果照片存储在公共可访问的位置,攻击者可以轻松地下载或共享这些照片。虽然漏洞的CVSS评分为LOW,但如果照片包含敏感信息,其影响可能仍然很大。攻击者可能利用此漏洞进行信息收集,甚至可能用于进一步的攻击。
该漏洞已于2026年4月10日公开披露。目前没有已知的公开利用程序(POC),但由于漏洞的性质,存在被利用的风险。该漏洞尚未被添加到CISA KEV目录中。建议密切关注安全社区的动态,以获取有关此漏洞的更多信息。
Organizations and individuals using TREK for collaborative travel planning, particularly those relying on the platform to store sensitive travel information or personal photos, are at risk. Shared hosting environments where multiple TREK instances reside are also potentially vulnerable, as a compromise of one instance could expose photos from others.
• generic web:
curl -I https://your-trek-instance.com/uploads/photo.jpgIf the response returns a 200 OK status without requiring authentication, the vulnerability may be present. • generic web:
grep -r 'uploads/photo.jpg' /var/log/apache2/access.logLook for access attempts to the photo upload directory from unauthorized IP addresses.
disclosure
漏洞利用状态
EPSS
0.06% (19% 百分位)
CISA SSVC
最有效的缓解措施是立即将TREK升级到2.7.2或更高版本。如果无法立即升级,可以考虑配置Web应用程序防火墙(WAF)以阻止对照片上传API的未经身份验证访问。此外,应审查TREK的配置,确保照片存储在安全的位置,并且只有授权用户才能访问。升级后,请验证照片访问是否需要身份验证。
将 TREK 更新到 2.7.2 或更高版本以避免对上传文件的未认证访问。此更新通过要求身份验证来访问上传的照片来修复此漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-40184描述了TREK旅行规划器中一个未授权访问漏洞,攻击者可以未经身份验证访问上传的照片。
如果您正在使用TREK 1.0.0及早于2.7.2的版本,则可能受到影响。请立即升级到2.7.2或更高版本。
最有效的修复方法是升级到TREK 2.7.2或更高版本。
目前没有已知的公开利用程序,但存在被利用的风险。
请访问TREK官方网站或GitHub仓库,查找有关CVE-2026-40184的公告。
CVSS 向量