ZCyberNews
English

#authentication-bypass

15 articles

2026年4月至5月期间,ZCyberNews发布了17篇关于认证绕过漏洞的文章,其中包括严重漏洞CVE-2026-20127、CVE-2026-20182和CVE-2026-20223,每个漏洞的CVSS评分均为10分。报道涵盖了7个严重、7个高危和3个中危问题,影响了全球的技术、金融服务、政府、医疗保健和软件开发行业。其他主要CVE包括CVE-2026-41940(CVSS 9.8)和CVE-2026-33413(CVSS 8.8),突显了各行业普遍存在的认证失败风险。

CVE-2026-20223 (CVSS 10): 思科安全未认证API访问CRITICAL
漏洞

CVE-2026-20223 (CVSS 10): 思科安全未认证API访问

CVE-2026-20223 (CVSS 10.0): 未经认证的攻击者可以访问思科安全工作负载中的内部REST API,并具有站点管理员权限。无需认证。

CVE-2026-20223
6 分钟阅读
Open WebUI 修补三个漏洞:XSS、SVG注入、认证绕过HIGH
漏洞

Open WebUI 修补三个漏洞:XSS、SVG注入、认证绕过

Open WebUI 修复了 CVE-2026-45314(SVG XSS)、CVE-2026-45303(iframe脚本注入)和 CVE-2026-44567(待定角色认证绕过)——全部在自托管的AI平台上。

CVE-2026-45314CVE-2026-45303CVE-2026-44567
8 分钟阅读
ZITADEL LDAP 过滤器注入 CVE-2026-44671 允许未认证访问HIGH
漏洞

ZITADEL LDAP 过滤器注入 CVE-2026-44671 允许未认证访问

CVE-2026-44671 (CVSS 7.5): ZITADEL 身份平台未能在 LDAP 过滤器中转义用户名,允许未认证攻击者在登录期间注入任意过滤器逻辑。

CVE-2026-44671
5 分钟阅读
Aegra IDOR CVE-2026-44504 暴露共享租户间数据HIGH
漏洞

Aegra IDOR CVE-2026-44504 暴露共享租户间数据

CVE-2026-44504: Aegra 在 0.9.7 版本之前允许经过身份验证的攻击者通过跨租户IDOR读取检查点状态并向其他用户的线程注入消息。补丁已可用。

CVE-2026-44504
5 分钟阅读
思科Catalyst SD-WAN控制器漏洞CVE-2026-20182得分完美CRITICAL
漏洞

思科Catalyst SD-WAN控制器漏洞CVE-2026-20182得分完美

Rapid7发现了CVE-2026-20182,这是一个10.0-CVSS认证绕过漏洞,存在于思科Catalyst SD-WAN控制器中。未经认证的攻击者可以注入SSH密钥并发出NETCONF命令。

CVE-2026-20182CVE-2026-20127
5 分钟阅读
黑客利用PraisonAI认证绕过漏洞在披露后几小时内HIGH
漏洞

黑客利用PraisonAI认证绕过漏洞在披露后几小时内

Sysdig在公开通告后的3小时44分钟内检测到CVE-2026-44338利用尝试——攻击者探测了暴露的PraisonAI实例上的/agents。

CVE-2026-44338
5 分钟阅读
Casdoor LFS 漏洞 CVE-2026-6815 允许管理员在任何地方写文件CRITICAL
漏洞

Casdoor LFS 漏洞 CVE-2026-6815 允许管理员在任何地方写文件

Casdoor 的本地文件系统存储提供商 CVE-2026-6815 允许经过身份验证的管理员遍历路径以在沙箱外部写入任意文件。目前还没有补丁。

CVE-2026-6815
5 分钟阅读
pgAdmin 4 暴力破解漏洞 CVE-2026-7820 绕过账户锁定MEDIUM
漏洞

pgAdmin 4 暴力破解漏洞 CVE-2026-7820 绕过账户锁定

CVE-2026-7820(CVSS 6.5)在 pgAdmin 4 中允许攻击者通过 Flask-Security 的默认 /login 视图暴力破解密码,绕过 MAXLOGINATTEMPTS 的执行。

CVE-2026-7820
5 分钟阅读
WSO2 API Manager 漏洞 CVE-2025-8325 允许低权限用户绕过MEDIUM
漏洞

WSO2 API Manager 漏洞 CVE-2025-8325 允许低权限用户绕过

CVE-2025-8325 (CVSS 6.3) 在 WSO2 API Manager 中允许具有 Internal/Everyone 角色的用户未经授权调用 Gateway 和 Internal Service APIs,影响 APIM 3.x...

CVE-2025-8325
5 分钟阅读
Yeti JWT漏洞CVE-2024-46508允许攻击者伪造认证令牌HIGH
漏洞

Yeti JWT漏洞CVE-2024-46508允许攻击者伪造认证令牌

CVE-2024-46508(CVSS 7.5)影响2.1.12之前的Yeti平台,当默认密钥未更改时,允许攻击者伪造有效的JWT令牌 —— 存在完全账户接管风险。

CVE-2024-46508
5 分钟阅读
cPanel & WHM 认证绕过 CVE-2026-41940:CVSS 9.8CRITICAL
漏洞

cPanel & WHM 认证绕过 CVE-2026-41940:CVSS 9.8

CVE-2026-41940:未经认证的远程攻击者可以绕过 cPanel & WHM 和 WP Squared 的认证。CVSS 9.8。补丁于 2026 年 4 月 28 日发布。

CVE-2026-41940
4 分钟阅读
Flowise Auth Bypass CVE-2026-41276 允许攻击者重置密码HIGH
漏洞

Flowise Auth Bypass CVE-2026-41276 允许攻击者重置密码

CVE-2026-41276(CVSS 8.1)在 Flowise AccountService resetPassword 中允许未经身份验证的攻击者绕过认证。ZDI 咨询警告无需认证。

CVE-2026-41276
3 分钟阅读
西门子SINEC NMS认证绕过CVE-2026-24032获得7.3 CVSSHIGH
漏洞

西门子SINEC NMS认证绕过CVE-2026-24032获得7.3 CVSS

ZDI披露了CVE-2026-24032,这是一个7.3-CVSS认证绕过漏洞,存在于西门子SINEC NMS中,无需认证即可利用。影响工业网络管理系统。

CVE-2026-24032
4 分钟阅读
关键etcd认证绕过暴露Kubernetes集群秘密CRITICAL
漏洞

关键etcd认证绕过暴露Kubernetes集群秘密

etcd中的关键认证绕过漏洞CVE-2026-33413(CVSS 8.8),允许未经授权的访问敏感集群API,可能暴露Kubernetes和云原生环境中的秘密和配置。

CVE-2026-33413
7 分钟阅读
WordPress插件严重漏洞允许未经认证的管理员接管CRITICAL
漏洞

WordPress插件严重漏洞允许未经认证的管理员接管

User Registration & Membership WordPress插件中存在一个严重漏洞(CVE-2026-1492),允许未经认证的攻击者绕过登录并获得完整的管理员访问权限,影响数千个站点。

CVE-2026-1492
5 分钟阅读

订阅更新

将最新的网络安全资讯直接发送到您的邮箱。