一、 漏洞 CVE-2026-0612 基础信息
漏洞信息
# Apache HTTP Server 远程代码执行漏洞
## 概述
The Librarian 存在信息泄露漏洞,攻击者可通过 `web_fetch` 工具获取任意外部内容,利用该漏洞通过 The Librarian 基础设施代理请求。
## 影响版本
所有受影响的 TheLibrarian 版本(漏洞已在所有版本中修复)。
## 细节
`web_fetch` 工具未对目标地址进行有效限制,允许攻击者指定任意外部 URL,导致可被用于发起任意网络请求并回传响应内容,从而实现信息泄露与请求代理。
## 影响
攻击者可利用该漏洞探测内网、获取外部受控资源信息,或通过 The Librarian 代理请求以隐藏真实来源,造成信息泄露与间接网络攻击。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
CVE-2026-0612
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Librarian contains a information leakage vulnerability through the `web_fetch` tool, which can be used to retrieve arbitrary external content provided by an attacker, which can be used to proxy requests through The Librarian infrastructure. The vendor has fixed the vulnerability in all versions of TheLibrarian.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2026-0612 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2026-0612 的情报信息
标题: The Librarian - Supercharge your day with your own AI personal assistant -- 🔗来源链接
标签:
神龙速读:### 关键信息 #### 漏洞相关的安全信息 - **数据加密**: - 所有用户数据在传输和静止时都进行了加密,使用了行业标准的AES-256加密。 - **隐私保护**: - 在每个步骤中都保护用户交互的隐私,包括严格的访问控制和索引,以尊重原始文件权限。 - **合规性**: - 正在努力通过SOC2合规性工作,根据SOC2合规性在2025年完成认证。 #### 可能的漏洞关注点 - **集成风险**: - 应用程序集成了多个平台如Gmail、日历、Drive和Web。这种集成可能带来数据同步和权限管理方面的漏洞。 - **API安全**: - 应用程序可能使用API与其他工具和服务进行通信,需要确保API的安全性和访问控制,防止未经授权的访问和数据泄露。 - **用户认证和访问控制**: - 确保用户认证机制的强度以及访问控制策略的有效性,避免未经授权的用户访问敏感信息和功能。
标题: TheLibrarian.io's AI Security Is Checked Out, and Their Disclosure Response - Mindgard -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2026-0612
四、漏洞 CVE-2026-0612 的评论
暂无评论