#authorization-bypass
6 articles
2026年5月8日至17日期间,技术与云基础设施领域遭遇了一波集中的授权绕过漏洞攻击,六篇文章报道了多项严重缺陷,包括CVE-2026-7813(CVSS 9.9)、CVE-2026-42880(CVSS 9.6)、CVE-2026-44574(CVSS 8.1)、CVE-2026-44575(CVSS 8.1)以及CVE-2026-33357(CVSS 7.5)。这两个关键级与三个高危级问题影响了消费物联网、数据库管理及移动网络运营商,同时还有一个中危级漏洞被记录在案。
MEDIUMOpen5GS AMF 漏洞 CVE-2026-8743 允许远程授权绕过
CVE-2026-8743(CVSS 6.5)在 Open5GS 版本 2.7.6 及以下版本中,远程攻击者可以通过 AMF/MME ranuefindbyamfuengap_id 函数绕过授权。漏洞利用已公开。
HIGHNext.js 修补应用路由器中的两个授权绕过漏洞
CVE-2026-44574(CVSS 8.1)和 CVE-2026-44575(CVSS 7.5)允许攻击者通过精心制作的.rsc URL和查询参数绕过Next.js应用路由器中的基于中间件的认证检查...
HIGHMeari SDK漏洞CVE-2026-33357泄露IoT摄像机的广域网IP
CVE-2026-33357(CVSS 7.5)在Meari SDK中允许攻击者通过CloudEdge、Arenti和白标应用检索任何设备的广域网IP,无需认证。
CRITICALCVE-2026-7813: pgAdmin 4 服务器模式缺陷允许用户访问私有
CVE-2026-7813(CVSS 9.9)在 pgAdmin 4 服务器模式中允许经过身份验证的用户通过猜测对象ID来访问其他用户的私有服务器、组和调试器数据。
CRITICALArgo CD 漏洞 CVE-2026-42880 通过 Dry-Run 泄露 Kubernetes 密钥
CVE-2026-42880 (CVSS 9.6) 在 Argo CD 中允许只读攻击者通过 ServerSideDiff 端点使用 Server-Side Apply dry-run 提取 Kubernetes 明文密钥。
HIGHCVE-2026-7891: DIVD VerySecureApp 泄露所有记录给匿名用户
CVE-2026-7891 在 DIVD 的 VerySecureApp(Mendix Studio Pro 11.8.0 Beta)中通过授权配置错误暴露所有存储记录给匿名用户 —— 无需访问权限...
订阅更新
将最新的网络安全资讯直接发送到您的邮箱。