CVE-2026-53901— Cerebrate 输入验证错误漏洞
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2026-53901 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
Cerebrate before v1.37 allows mass assignment of record identifiers during object creation
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Cerebrate before version 1.37 contains a mass-assignment vulnerability in the generic CRUD add path. The add() handler attempted to remove an attacker-supplied id from $params before normalizing the request through __massageInput(). Because the normalized $input could still contain an id field, a user able to reach an affected add endpoint could supply an identifier that should have been server-controlled. Successful exploitation could allow creation of objects with attacker-chosen identifiers, potentially causing unauthorized data manipulation, object spoofing, inconsistent references, or disruption through identifier collisions, depending on the affected model and endpoint permissions. The issue was fixed in v1.37 by removing id from the normalized input before entity patching.
来源: 美国国家漏洞数据库 NVD
CVSS Information
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
输入验证不恰当
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
Cerebrate 输入验证错误漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
Cerebrate是Cerebrate开源的一个开源平台。旨在充当受信任的联系信息提供者和其他安全工具的互连协调器。 Cerebrate 1.37之前版本存在输入验证错误漏洞,该漏洞源于通用CRUD添加路径中的批量赋值问题。add()处理程序在通过__massageInput()规范化请求之前,尝试从$params中移除攻击者提供的id。由于规范化的$input仍可能包含id字段,能够访问受影响添加端点的用户可以提供一个本应由服务器控制的标识符。成功利用可能导致创建具有攻击者选择标识符的对象,可能根据受影
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD
受影响产品
二、漏洞 CVE-2026-53901 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2026-53901 的情报信息
请登录查看更多情报信息。
CVE-2026-53901 补丁与修复 (1)
同批安全公告 · cerebrate · 2026-06-11 · 共 3 条
| CVE-2026-53911 | Cerebrate 安全漏洞 | |
| CVE-2026-53912 | Cerebrate 信息泄露漏洞 |
IV. Related Vulnerabilities
V. Comments for CVE-2026-53901
暂无评论