免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Apache HTTP Server堆缓冲区溢出漏洞(CVE-2026-28780)
一、漏洞描述:
Apache HTTP Server是美国阿帕奇(Apache)基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。
Apache HTTP Server存在堆缓冲区溢出漏洞。该漏洞是由于mod_proxy_ajp中的边界检查不正确造成的,攻击者可利用该漏洞在系统上执行任意代码,或导致应用程序崩溃。
二、风险等级:
高
三、影响范围:
Apache HTTP Server <=2.4.66
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://httpd.apache.org/security/vulnerabilities_24.html
2 Apache HTTP Server无限制资源分配漏洞(CVE-2026-29168)
一、漏洞描述:
Apache HTTP Server是美国阿帕奇(Apache)基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。
Apache HTTP Server存在无限制资源分配漏洞,攻击者可利用该漏洞消耗过多资源。
二、风险等级:
高
三、影响范围:
Apache HTTP Server >=2.4.30,<=2.4.66
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://httpd.apache.org/security/vulnerabilities_24.html
3 NGINX ngx_http_rewrite_module 堆缓冲区溢出漏洞(CVE-2026-9256)
一、漏洞描述:
NGINX 是一款高性能、轻量级的开源 Web 服务器与反向代理服务,具备高并发、模块化等特点,被各类企业广泛部署。
其 ngx_http_rewrite_module 模块存在缓冲区越界漏洞,程序在解析含重叠捕获组的正则重写规则时,未准确校验缓冲区大小,引发内存拷贝异常。未经认证的攻击者可发送特制 HTTP 请求触发该漏洞,造成进程宕机,条件满足时可实现任意代码执行。
二、风险等级:
高
三、影响范围:
1. NGINX Open Source
1.30.0 ~ 1.30.1(修复版:1.30.2)
1.31.0 ~ 1.31.1(修复版:1.31.1)
自0.1.17起受影响
2. NGINX Plus
R32 ~ R32 P7(修复版:R32 P8)
R36 ~ R36 P5(修复版:R36 P6)
37.0 ~ 37.0.1.1(修复版:37.0.1.2)
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://nginx.org
4 Apache Fory / PyFory 不安全反序列化(CVE-2026-48207)
一、漏洞描述:
Apache Fory(Python 版为 PyFory)是 Apache 基金会推出的开源序列化工具。
其ReduceSerializer模块存在校验绕过漏洞,程序处理 reduce 状态与全局名称解析时,会跳过反序列化策略DeserializationPolicy的安全检测。满足特定运行条件时,攻击者可发送恶意载荷触发漏洞,实现远程代码执行,接管应用进程。
二、风险等级:
高
三、影响范围:
Apache Fory(PyFory):< 1.0.0 所有版本(0.13.0 及更早)
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://fory.apache.org/security ... zationpolicy-bypass
|
发表于 2026-5-27 10:59
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡