关键信息 漏洞描述 CVE ID: CVE-2026-24686 CVSS 评分: 8.1 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H) 严重程度: HIGH 影响范围 受影响版本: 2.4.0 漏洞详情 来源: go-tuf 的 TAP 4 multirepo 客户端在选择本地元数据缓存目录时,使用地图文件存储库名称字符串(repoName)作为文件系统路径组件。 攻击向量: 当应用程序从不可信源接受地图文件时,攻击者可以提供包含遍历路径的 repoName,导致 go-tuf 在预期的 缓存目录之外创建目录并写入根元数据文件。 影响 攻击者控制地图文件内容时,可能导致任意文件写入(例如覆盖可写目录中的配置文件),进一步导致系统被攻陷。 可利用性:取决于部署环境。如果地图文件始终是本地且可信的,则此问题更接近于配置错误而非远程触发的问题。 攻击者模型 攻击者可以控制 TAP 4 地图文件的 键(例如从 URL 获取的地图文件)。 如果本地缓存启用且 可写,则可利用此漏洞。 修复建议 验证多存储库存储库名称(不是路径),确保在 中使用之前拒绝: - 绝对路径 - 路径分隔符( 和 ) - 遍历组件( 和 ) 临时缓解措施 将 TAP 4 地图文件仅视为可信配置(不要从不可信源获取)。 在传递地图文件给 go-tuf 之前验证存储库名称(拒绝绝对路径、路径分隔符和遍历组件)。 如果适用,禁用本地缓存以避免将元数据写入磁盘(设置 )。 ``` 这些信息总结了漏洞的关键点、影响范围、攻击模型和修复/缓解措施。