HIGHCVE-2026-6105CVSS 7.3

perfree go-fastdfs-web doInstall InstallController.java 权限不当

Q: go-fastdfs-web 中的 CVE-2026-6105 是否会影响我？

实施严格的访问控制并监控系统活动。

平台

java

组件

go-fastdfs-web

修复版本

1.3.1

1.3.2

1.3.3

1.3.4

1.3.5

1.3.6

1.3.7

1.3.8

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-6105 是一个存在于 go-fastdfs-web 组件中，影响版本 1.3.0 到 1.3.7 的安全漏洞。该漏洞源于 InstallController.java 的 doInstall 接口中的授权问题，攻击者可以通过远程方式绕过授权机制，可能导致未经授权的访问和操作。目前，该漏洞已公开披露，建议用户尽快评估风险并采取缓解措施。No official patch available.

影响与攻击场景

在 perfree go-fastdfs-web 的 1.3.7 及更早版本中，发现了一个不当授权的漏洞。该漏洞位于文件 src/main/java/com/perfree/controller/InstallController.java 中的 doInstall 接口中。远程攻击者可能利用此漏洞获取对资源的未经授权的访问或执行未经授权的操作。该漏洞的严重程度在 CVSS 规模上评为 7.3。供应商对该漏洞的公开披露未作出响应，这加剧了情况，使用户面临重大风险。攻击成功可能导致存储和管理在 go-fastdfs-web 系统中的数据的机密性和完整性受损。

利用背景

go-fastdfs-web 中不当授权的漏洞允许远程攻击者在没有适当的身份验证或授权的情况下利用 doInstall 接口。该漏洞的公开披露增加了利用的风险，因为攻击者现在知道该漏洞并可以开发和部署利用程序。供应商的未响应情况表明软件维护或支持可能不足，这可能会导致用户没有安全补丁或更新。利用的远程性质意味着该漏洞可以从任何具有网络访问权限的地点进行利用，前提是该地点运行着 go-fastdfs-web。强烈建议用户立即采取措施保护其系统。

哪些人处于风险中翻译中…

Organizations deploying go-fastdfs-web in production environments, particularly those with exposed instances accessible from the internet, are at significant risk. Shared hosting environments where multiple users share the same go-fastdfs-web instance are also vulnerable, as a compromise of one user could potentially lead to the compromise of others. Systems with legacy configurations or those lacking robust network security controls are especially susceptible.

检测步骤翻译中…

• java / server:

grep -r 'doInstall' /path/to/go-fastdfs-web/src/main/java/

• generic web:

curl -I http://your-server/install | grep -i '200 OK'

• generic web:

curl -I http://your-server/install/ | grep -i '403 Forbidden'

攻击时间线

2026-04-11Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告2 份威胁报告

EPSS

0.05% (15% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响partial

受影响的软件

组件go-fastdfs-web

供应商perfree

影响范围修复版本

1.3.0 – 1.3.01.3.1

1.3.1 – 1.3.11.3.2

1.3.2 – 1.3.21.3.3

1.3.3 – 1.3.31.3.4

1.3.4 – 1.3.41.3.5

1.3.5 – 1.3.51.3.6

1.3.6 – 1.3.61.3.7

1.3.7 – 1.3.71.3.8

弱点分类 (CWE)

CWE-285 CWE-266

时间线

已保留2026-04-11
发布日期2026-04-11
修改日期2026-04-13
EPSS 更新日期2026-04-19

未修复 — 披露已43天

缓解措施和替代方案

由于供应商未提供修复程序，因此立即的缓解措施包括在可用情况下升级到 go-fastdfs-web 的更新版本。如果无法升级，建议在运行 go-fastdfs-web 的环境中实施严格的访问控制。这包括配置防火墙、将对 doInstall 接口的访问限制为授权用户，以及持续监控系统是否存在利用迹象。此外，建议审查和加强现有的安全策略，以确保对潜在攻击进行分层防御。供应商的未响应情况强调了自我保护和积极安全实践的重要性。

修复方法翻译中…

Actualice a una versión corregida de go-fastdfs-web.  Revise la configuración de autorización para asegurar que solo los usuarios autorizados puedan acceder a la funcionalidad de instalación.  Implemente controles de acceso robustos para prevenir accesos no autorizados.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-6105 是什么 — go-fastdfs-web 中的漏洞？

这意味着用户可以访问他们不应该访问的函数或数据。

go-fastdfs-web 中的 CVE-2026-6105 是否会影响我？