CVE-2026-28286— ZimaOS 安全漏洞
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2026-28286 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
ZimaOS: Unauthorized Creation of Files/Folders in Restricted System Directories via API
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
ZimaOS is a fork of CasaOS, an operating system for Zima devices and x86-64 systems with UEFI. In version 1.5.2-beta3, the application enforces restrictions in the frontend/UI to prevent users from creating files or folders in internal OS paths. However, when interacting directly with the API, the restrictions are bypass-able. By sending a crafted request targeting paths like /etc, /usr, or other sensitive system directories, the API successfully creates files or directories in locations where normal users should have no write access. This indicates that the API does not properly validate the target path, allowing unauthorized operations on critical system directories. No known patch is publicly available.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
文件名或路径的外部可控制
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
ZimaOS 安全漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
ZimaOS是IceWhaleTech的一个开源的操作系统项目,旨在提供一个轻量级、高性能、安全的操作系统环境。 ZimaOS 1.5.2-beta3版本存在安全漏洞,该漏洞源于API未正确验证目标路径,可能导致在敏感系统目录中创建文件或目录。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD
受影响产品
| 厂商 | 产品 | 影响版本 | CPE | 订阅 |
|---|---|---|---|---|
| IceWhaleTech | ZimaOS | = 1.5.2-beta3 | - |
二、漏洞 CVE-2026-28286 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2026-28286 的情报信息
请登录查看更多情报信息。
CVE-2026-28286 厂商安全公告 (1)
IV. Related Vulnerabilities
V. Comments for CVE-2026-28286
暂无评论