关键漏洞信息 漏洞概述 名称: (0Day) WatchYourLAN Configuration Page Argument Injection Remote Code Execution Vulnerability 编号: - ZDI-26-039 - ZDI-CAN-26708 CVE标识 CVE ID: CVE-2026-0774 CVSS评分 CVSS Score: 8.8 向量: AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 影响范围 受影响的厂商: WatchYourLAN 受影响的产品: WatchYourLAN 漏洞详情 描述: 该漏洞允许网络邻近攻击者在受影响的WatchYourLAN安装上执行任意代码,利用此漏洞不需要身份验证。 具体问题: 在处理arpstrs参数时存在特定的缺陷。问题源于在执行系统调用之前,对用户提供的字符串缺乏适当的验证。攻击者可以利用此漏洞在服务帐户的上下文中执行代码。 额外细节 报告时间线: - 2025年6月19日 - ZDI向厂商提交报告 - 2025年7月4日 - ZDI要求确认报告已接收 - 2025年11月6日 - ZDI询问更新情况 - 2025年12月10日 - ZDI通知厂商将此案作为0-day公告发布 缓解措施: 鉴于漏洞的性质,唯一的有效缓解策略是限制与产品交互。 公开时间线 2025-06-19: 漏洞报告给厂商 2026-01-09: 协调公开发布咨询意见 2026-01-09: 咨询意见更新 报告人 x.com/xnand_