关键漏洞信息总结 概要 漏洞名称: 使用硬编码的凭据 发布者: denpiligrim 发布日期: 12小时前 软件信息 包链接: https://github.com/denpiligrim/3dp-manager (npm) 受影响版本: <= 2.0.1 修复版本: 2.0.2 严重性 严重程度: Critical (CVSS v3 分数: 9.8/10) 攻击向量: Network 攻击复杂度: Low 所需权限: None 用户交互: None 影响范围: Unchanged 机密性: High 完整性: High 可用性: High CVE ID: CVE-2026-25803 弱点类型: CWE-798 影响 使用Docker镜像v2.0.1及以下版本部署的3dp-manager应用暴露于此漏洞。 应用在初次初始化时自动创建一个默认凭据(admin/admin)的管理员账户。 网络访问该应用登录界面的攻击者可获得完全的管理控制,包括管理VPN隧道和系统设置。 解决方案 3dp-manager已修复硬编码默认密码的问题,修复包含在v2.0.2版本中。 操作建议 用户应立即更新Docker容器至镜像标签v2.0.2或更高版本。 对于已部署旧版本的用户,需手动通过设置UI更改管理员账户密码,以确保数据库中不再存在该默认账户。 备注 此更新与先前版本完全兼容。 参考文件 server/src/auth/auth.service.ts server/src/main.ts 报告人 denpiligrim