CVE-2026-24788:RaspAP RaspAP 操作系统命令注入漏洞
概述
CVE-2026-24788
严重程度:8.8(高危)
CVSS 3.0
RaspAP raspap-webgui 3.3.6 之前版本中存在一个操作系统命令注入漏洞。若该漏洞被利用,能够登录该产品的用户可能会执行任意操作系统命令。
漏洞时间线
描述
RaspAP raspap-webgui 3.3.6 之前版本包含一个操作系统命令注入漏洞。如果被利用,能够登录该产品的用户可以执行任意操作系统命令。
信息
- 发布日期:2026年2月2日,凌晨5:16
- 最后修改:2026年2月2日,凌晨5:16
- 远程利用:否
- 来源:vultures@jpcert.or.jp
受影响产品
| ID | 供应商 | 产品 |
|---|---|---|
| 1 | Raspap | raspap |
- 受影响供应商总数:1
- 受影响产品总数:1
CVSS评分
| 分数 | 版本 | 严重程度 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|
| 8.8 | CVSS 3.0 | 高危 | - | - | ede6fdc4-6654-4307-a26d-3331c018e2ce |
| 8.8 | CVSS 3.0 | 高危 | 2.8 | 5.9 | vultures@jpcert.or.jp |
| 8.7 | CVSS 4.0 | 高危 | - | - | ede6fdc4-6654-4307-a26d-3331c018e2ce |
| 8.7 | CVSS 4.0 | 高危 | - | - | vultures@jpcert.or.jp |
解决方案
- 将 RaspAP 更新至 3.3.6 或更高版本以修复操作系统命令注入问题。
- 如果可用,应用供应商提供的补丁。
- 限制对产品的访问。
相关公告、解决方案和工具参考
CWE - 通用弱点枚举
CVE-2026-24788 与以下 CWE 相关联:
- CWE-78:操作系统命令中使用的特殊元素未正确中和(“操作系统命令注入”)
CAPEC - 通用攻击模式枚举与分类
- CAPEC-6:参数注入
- CAPEC-15:命令分隔符
- CAPEC-43:利用多层输入解释
- CAPEC-88:操作系统命令注入
- CAPEC-108:通过 SQL 注入执行命令行
漏洞变更历史
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增 | 描述 | - | RaspAP raspap-webgui 3.3.6 之前版本包含一个操作系统命令注入漏洞。若被利用,能够登录该产品的用户可以执行任意操作系统命令。 |
| 新增 | CVSS V4.0 | - | AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
| 新增 | CVSS V3 | - | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| 新增 | CWE | - | CWE-78 |
| 新增 | 参考 | - | github.com/RaspAP/rasp… |
| 新增 | 参考 | - | jvn.jp/en/jp/JVN27… |
CVSS 详细评分
CVSS 4.0
- 基础CVSS评分:8.7
- 攻击向量:网络
- 攻击复杂度:低
- 攻击要求:无
- 所需权限:低
- 用户交互:无
- 机密性(VS):高
- 完整性(VS):高
- 可用性(VS):高
CVSS 3.0
- 基础CVSS评分:8.8
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:低
- 用户交互:无
- 范围:未改变
- 机密性影响:高
- 完整性影响:高
- 可用性影响:高 LQuBhaqoQIY4rPtQA72Cjg7QBqM4uFgolxdjEx1zlRixDZE+fIgLeXjxLXo/0w50
