一、 漏洞 CVE-2026-0613 基础信息
漏洞信息
# Apache HTTP Server 2.4.50 远程代码执行漏洞
## 概述
The Librarian 存在一个内部端口扫描漏洞,攻击者可利用 `web_fetch` 工具发起类似 SSRF 的 GET 请求,探测内部 IP 地址和服务。
## 影响版本
所有受影响的版本均存在此漏洞,具体版本未列出,但厂商已在所有受影响版本中修复。
## 细节
`web_fetch` 工具允许向任意 URL 发起 GET 请求,缺乏对内网地址的访问限制,可被滥用以探测 The Librarian 所处的 Hertzner 云环境中的内部服务和开放端口。
## 影响
攻击者可利用该漏洞进行内网端口扫描,探测内部系统和服务,可能导致信息泄露或为后续攻击提供攻击面。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
CVE-2026-0613
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Librarian contains an internal port scanning vulnerability, facilitated by the `web_fetch` tool, which can be used with SSRF-style behavior to perform GET requests to internal IP addresses and services, enabling scanning of the Hertzner cloud environment that TheLibrarian uses. The vendor has fixed the vulnerability in all affected versions.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2026-0613 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2026-0613 的情报信息
标题: The Librarian - Supercharge your day with your own AI personal assistant -- 🔗来源链接
标签:
神龙速读:### 关键信息 #### 漏洞相关的安全信息 - **数据加密**: - 所有用户数据在传输和静止时都进行了加密,使用了行业标准的AES-256加密。 - **隐私保护**: - 在每个步骤中都保护用户交互的隐私,包括严格的访问控制和索引,以尊重原始文件权限。 - **合规性**: - 正在努力通过SOC2合规性工作,根据SOC2合规性在2025年完成认证。 #### 可能的漏洞关注点 - **集成风险**: - 应用程序集成了多个平台如Gmail、日历、Drive和Web。这种集成可能带来数据同步和权限管理方面的漏洞。 - **API安全**: - 应用程序可能使用API与其他工具和服务进行通信,需要确保API的安全性和访问控制,防止未经授权的访问和数据泄露。 - **用户认证和访问控制**: - 确保用户认证机制的强度以及访问控制策略的有效性,避免未经授权的用户访问敏感信息和功能。
标题: TheLibrarian.io's AI Security Is Checked Out, and Their Disclosure Response - Mindgard -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2026-0613
四、漏洞 CVE-2026-0613 的评论
暂无评论