漏洞概述 CVE编号: CVE-2026-0848 漏洞类型: 代码注入(CWE-94) 严重程度: 高(7.8) 发布日期: 2026年4月10日 漏洞描述: CVE-2026-0848修复了 中未受信任JAR代码执行的问题,通过添加SHA256验证(PR #3477)。然而,该修复仅应用于 。其他五个Stanford接口类存在相同的漏洞,它们接受用户可控的JAR路径并通过 执行,且没有完整性验证。 影响范围 受影响版本: 3.9.3及更早版本 受影响类: - - - - - - - 修复方案 已修复类: 修复方法: 添加SHA256验证(PR #3477) 未修复类: 其他五个Stanford接口类 概念验证(POC)代码 影响 影响: 当用户通过任何五个未修补的Stanford接口类加载未受信任的JAR时,会导致任意代码执行。 相同攻击面: 与CVE-2026-0848相同的攻击面,修复仅应用于 ,其他五个类未被修复。 发生情况 具体发生位置: 代码片段: 其他信息 注册表: PyPI 可见性: 公开 状态: 等待修复 披露赏金: $500 修复赏金: $125 发现者: Liu (@d1g1t4r)