目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

CVE-2026-28794— orpc 安全漏洞

AI 预测 9.8 利用难度: 较易 EPSS 0.91% · P56

可能的 ATT&CK 技术 1AI

T1556 · Modify Authentication Process
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2026-28794 基础信息

漏洞信息

对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
oRPC: Prototype Pollution in `@orpc/client` via `StandardRPCJsonSerializer` Deserialization
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
oRPC is an tool that helps build APIs that are end-to-end type-safe and adhere to OpenAPI standards. Prior to version 1.13.6, a prototype pollution vulnerability exists in the RPC JSON deserializer of the @orpc/client package. The vulnerability allows unauthenticated, remote attackers to inject arbitrary properties into the global Object.prototype. Because this pollution persists for the lifetime of the Node.js process and affects all objects, it can lead to severe security breaches, including authentication bypass, denial of service, and potentially Remote Code Execution. This issue has been patched in version 1.13.6.
来源: 美国国家漏洞数据库 NVD
CVSS Information
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
CWE-1321
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
orpc 安全漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
orpc是middleapi开源的一个RPC与OpenAPI集成框架。 oRPC 1.13.6之前版本存在安全漏洞,该漏洞源于@orpc/client包的RPC JSON反序列化器中存在原型污染,可能导致未经身份验证的远程攻击者向全局Object.prototype注入任意属性,从而引发身份验证绕过、拒绝服务或远程代码执行。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD

受影响产品

厂商产品影响版本CPE订阅
middleapiorpc < 1.13.6 -

二、漏洞 CVE-2026-28794 的公开POC

#POC 描述源链接神龙链接
AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2026-28794 的情报信息

登录查看更多情报信息。

CVE-2026-28794 补丁与修复 (1)

CVE-2026-28794 厂商安全公告 (1)

IV. Related Vulnerabilities

V. Comments for CVE-2026-28794

暂无评论


发表评论