CVE-2026-6105: défaut d'autorisation dans perfree go-fastdfs-web
Résumé exécutif
Section intitulée « Résumé exécutif »Une vulnérabilité de sécurité (CVE-2026-6105, CVSS 6.9) a été identifiée dans perfree go-fastdfs-web (versions allant jusqu’à la 1.3.7 incluse). La vulnérabilité réside dans l’interface doInstall au sein du composant InstallController.java, entraînant un défaut d’autorisation et une assignation incorrecte des privilèges (CWE-285/CWE-266). Des attaquants non authentifiés peuvent exploiter cette interface à distance pour obtenir un accès non autorisé.
Analyse technique
Section intitulée « Analyse technique »La faille se situe dans le contrôleur d’installation responsable de l’interface doInstall. En raison de contrôles d’autorisation inadéquats, des utilisateurs distants peuvent manipuler cette interface pour contourner les contrôles d’accès. Cette vulnérabilité permet un accès non autorisé à des fonctions d’installation sensibles, compromettant potentiellement l’intégrité de l’environnement de l’application.
Exploitation
Section intitulée « Exploitation »L’exploitation peut être initiée à distance. Les informations d’exploit divulguées publiquement indiquent que le point de terminaison doInstall n’impose pas de contrôles d’authentification ou de privilèges appropriés, permettant ainsi à des attaquants non authentifiés d’interagir avec le processus d’installation de l’application.
Détection
Section intitulée « Détection »Requête de Threat Hunting (Splunk/ELK)
Section intitulée « Requête de Threat Hunting (Splunk/ELK) »index=web_logs uri_path="*/doInstall*" OR uri_path="*InstallController*"| stats count by src_ip, user_agent, urlAtténuation
Section intitulée « Atténuation »- mise à jour/patch: s’assurer que go-fastdfs-web est mis à jour vers une version supérieure à la 1.3.7.
- contrôle d’accès: restreindre l’accès externe aux points de terminaison d’installation et d’administration.
- validation: implémenter des contrôles d’autorisation robustes au sein de l’interface
doInstall.