目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1325

100%
请我们喝杯咖啡

CVE-2026-2974— AliasVault 安全漏洞

CVSS 2.5 · Low EPSS 0.10% · P1
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2026-2974 基础信息

漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
AliasVault App Backup aliasvault.xml backup
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
A vulnerability was identified in AliasVault App up to 0.25.3 on Android/iOS. This vulnerability affects unknown code of the file shared_prefs/aliasvault.xml of the component Backup Handler. The manipulation of the argument accessToken/refreshToken/metadata/key_derivation_params/auth_methods leads to exposure of backup file to an unauthorized control sphere. An attack has to be approached locally. The attack is considered to have high complexity. It is stated that the exploitability is difficult. The exploit is publicly available and might be used. Upgrading to version 0.26.0 is able to resolve this issue. The identifier of the patch is 873ecc03f92238e162f98a068ad56069a922b4f6/0bd662320174d8265dfe3b05a04bc13efc960532. It is recommended to upgrade the affected component. The creator of the software explains: "Because of AliasVault's zero-knowledge encryption design, the tokens stored in aliasvault.xml are API session tokens that cannot decrypt the vault on their own: the master password is required for that. So while this isn't a direct vault compromise risk, there's no reason to include them in backups either."
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
将备份文件暴露给非授权控制范围
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
AliasVault 安全漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
AliasVault是AliasVault开源的一个密码管理器。 AliasVault 0.25.3及之前版本存在安全漏洞,该漏洞源于对组件Backup Handler中文件shared_prefs/aliasvault.xml的参数accessToken/refreshToken/metadata/key_derivation_params/auth_methods的错误操作,可能导致备份文件暴露给未授权控制域。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD

受影响产品

厂商产品影响版本CPE订阅
-AliasVault App 0.25.0 -

二、漏洞 CVE-2026-2974 的公开POC

#POC 描述源链接神龙链接
AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2026-2974 的情报信息

登录查看更多情报信息。

CVE-2026-2974 厂商安全公告 (1)

CVE-2026-2974 其他参考 (1)

同批安全公告 · n/a · 2026-02-23 · 共 24 条

CVE-2026-29786.3 MEDIUMFastAPI Admin 代码问题漏洞
CVE-2026-29776.3 MEDIUMFastAPI Admin 代码问题漏洞
CVE-2026-29796.3 MEDIUMFastAPI Admin 代码问题漏洞
CVE-2026-29755.3 MEDIUMFastAPI Admin 访问控制错误漏洞
CVE-2026-29764.3 MEDIUMFastAPI Admin 访问控制错误漏洞
CVE-2026-29652.4 LOW07FLYCMS和07FlyCRM 代码注入漏洞
CVE-2025-71056GCOM EPON 1GE 安全漏洞
CVE-2025-70327TOTOLINK X5000R 安全漏洞
CVE-2025-70328TOTOLINK X6000R 安全漏洞
CVE-2025-70329TOTOLINK X5000R 安全漏洞
CVE-2025-63946Tencent PC Manager 安全漏洞
CVE-2025-63945Tencent iOA 安全漏洞
CVE-2025-61147Structure AG Libde265 安全漏洞
CVE-2025-61145LibTIFF 安全漏洞
CVE-2025-61146libsixel 安全漏洞
CVE-2025-61143LibTIFF 安全漏洞
CVE-2025-61144LibTIFF 安全漏洞
CVE-2026-26464Kashipara Society Management System Portal 安全漏洞
CVE-2025-70058Sean1025 YMFE YApi 安全漏洞
CVE-2025-70045jxm 安全漏洞

显示前 20 条,共 24 条。 查看全部 → →

IV. Related Vulnerabilities

Same vendor: n/a
Same weakness: CWE-530

V. Comments for CVE-2026-2974

暂无评论

发表评论