能信安:漏洞通告

admin
admin
admin
0
文章
0
评论
2026-05-11 09:12:09 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文档通报了三个高危漏洞:OpenClaw路径遍历漏洞(CVE-2026-XXXX)允许读取任意文件,ApacheAirflow敏感信息泄露漏洞(CVE-2026-XXXX)未授权访问掩码数据,ZenitelSQL注入漏洞(CVE-2026-XXXX)可执行数据库查询。建议受影响用户立即升级至OpenClaw2026.1.30、Airflow3.1.6及以上版本,并关注厂商安全公告。 综合评分: 78 文章分类: 漏洞预警,漏洞分析,解决方案,应急响应,数据安全

cover_image

能信安:漏洞通告

能信安资讯

2026年5月8日 15:10 广东

在小说阅读器读本章

去阅读

网络安全预警通报

漏洞通告 2026年5月8日

01

OpenClaw路径遍历漏洞

漏洞概况:

OpenClaw是Openclaw开源的一个智能人工助理。

OpenClaw 2026.1.30之前版本存在路径遍历漏洞,该漏洞源于isValidMedia()函数允许任意文件路径,包括绝对路径、主目录路径和目录遍历序列,攻击者可利用该漏洞通过输出MEDIA:/path/to/file读取系统上的任何文件,从而将敏感数据外泄给用户或频道。

受影响系统:

OpenClaw < 2026.1.30

来源链接:

https://www.nsfocus.net/vulndb/138375

建议:

厂商已发布了漏洞修复程序,请及时关注更新:

https://github.com/openclaw/openclaw/security/advisories/GHSA-r8g4-86fx-92mq

02

Apache Airflow向未授权参与者暴露敏感信息漏洞

漏洞概况:

Apache Airflow是美国阿帕奇(Apache)基金会的一套具有创建、管理和监控工作流程功能的开源平台。

Apache Airflow 3.1.6之前版本存在向未授权参与者暴露敏感信息漏洞,该漏洞源于该平台渲染模板字段时未包含用户注册的mask_secret模式,攻击者可利用该漏洞实现信息泄露。

受影响系统:

Apache Airflow < 3.1.6

来源链接:

https://www.nsfocus.net/vulndb/138140

建议:

厂商已发布了漏洞修复程序,请及时关注更新: https://lists.apache.org/thread/55n7b4nlsz3vo5n4h5lrj9bfsk8ctyff

03

Zenitel SQL注入漏洞

漏洞概况:

Zenitel ICX500和Zenitel ICX510都是挪威Zenitel公司的一款通信与控制平台。

Zenitel ICX500和Zenitel ICX510存在操作系统命令注入漏洞,该漏洞源于程序未对用户输入进行正确处理,未经身份验证的攻击者可将SQL请求注入GET请求参数并直接查询底层数据库。

受影响系统:

Zenitel ICX 510

Zenitel ICX 500

来源链接:

https://www.nsfocus.net/vulndb/138356

建议:

厂商已发布了漏洞修复程序,请及时关注更新: https://www.zenitel.com/sites/default/files/2025-12/A100K12333%20Zenitel%20Security%20Advisory.pdf

能信安——新一代网络安全领先企业!

公司简介

深圳市能信安科技股份有限公司,是以安全、移动、泛在和大数据为主要方向的专业技术公司,致力于移动互联安全、车联网安全、物联网安全、大数据安全和人工智能安全技术。

公司是公安部、工信部网络安全技术支撑单位,国家网络安全威胁和漏洞信息共享平台技术支撑单位,是深圳大运会、党的十八大、2020年全国两会、2021年联合国生物多样性大会网络安全技术支撑单位。公司是国家级专精特新“小巨人”企业,中国移动安全十强企业,全国网络安全百强企业,具有良好的品牌影响力。

公司为中国新一代网络安全领先企业。在移动安全领域,公司可提供业界最先进、完整的技术、产品与解决方案,引领移动互联安全的技术潮流。主要产品及服务包括移动应用安全防火墙、无线安全检测及防御系统、移动应用安全检测及加固技术等。在数据安全领域,提供业界领先的数据安全治理、数据安全合格产品与服务。

公司依托于多年网络安全领域的技术经验及专业资质,向各类政府机关及企事业单位提供等级(分级)保护顾问咨询、关基保护顾问咨询、数据安全治理、密码改造顾问咨询、信息系统风险评估、安全体系建设咨询、修复加固服务、渗透测试服务、应急响应服务、安全运维保障服务。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:能信安资讯 《能信安:漏洞通告》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0