CVE-2026-11441— OneDev 授权问题漏洞
Possible ATT&CK Techniques 1AI
T1078 · Valid Accounts新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-11441の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
theonedev Pull Request issues canAccessIssue improper authorization
ソース: NVD (National Vulnerability Database)
脆弱性説明
A vulnerability was identified in theonedev onedev up to 15.0.5. This vulnerability affects the function canAccessIssue of the file /issues/ of the component Pull Request Handler. Such manipulation of the argument issue leads to improper authorization. It is possible to launch the attack remotely. Upgrading to version 15.0.6 is able to resolve this issue. It is advisable to upgrade the affected component.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
授权机制不恰当
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
OneDev 授权问题漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
OneDev是Theonedev团队的一个基于JAVA的多合一DevOps平台。该平台支持容器构建、编排、CI、Git管理、团队协作等功能,帮助开发者构建一个简单、功能强大的开发平台。 OneDev 15.0.5及之前版本存在授权问题漏洞,该漏洞源于Pull Request Handler组件文件/issues/中函数canAccessIssue对参数issue的错误操作,可能导致授权不当。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
II. CVE-2026-11441の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-11441のインテリジェンス情報
请登录查看更多情报信息。
CVE-2026-11441 安全博客文章 (1)
CVE-2026-11441 厂商页面 (1)
Same Patch Batch · theonedev · 2026-06-06 · 4 CVEs total
| CVE-2026-11439 | 6.3 MEDIUM | theonedev Parent Project projects improper authorization |
| CVE-2026-11438 | 6.3 MEDIUM | theonedev projects improper authorization |
| CVE-2026-11440 | 6.3 MEDIUM | theonedev REST API default-branch improper authorization |
IV. 関連脆弱性
同じ製品: onedev
- CVE-2026-49248
OneDev: RCE through absolute-path symlink following allows l - CVE-2026-11440
theonedev REST API default-branch improper authorization - CVE-2026-11439
theonedev Parent Project projects improper authorization - CVE-2026-11438
theonedev projects improper authorization - CVE-2026-44647
OneDev: Path Traversal (read capability via Git LFS pointer
同じベンダー: theonedev
- CVE-2026-49248
OneDev: RCE through absolute-path symlink following allows l - CVE-2026-11440
theonedev REST API default-branch improper authorization - CVE-2026-11439
theonedev Parent Project projects improper authorization - CVE-2026-11438
theonedev projects improper authorization - CVE-2026-44647
OneDev: Path Traversal (read capability via Git LFS pointer
同じ弱点: CWE-285
- CVE-2026-12673
Liquidfiles 4.2.12以下版本存在越权漏洞 - CVE-2026-48089
DevGuard has improper authorization on public assets - CVE-2026-49338
Subsonic API: any authenticated user can delete or read any - CVE-2026-20190
Cisco Identity Services Engine Information Disclosure Vulner - CVE-2026-12213
hcengineering Huly Platform User Information operations.ts g
V. CVE-2026-11441へのコメント
まだコメントはありません