目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

CVE-2026-48505— filamentphp filament 竞争条件问题漏洞

CVSS 7.4 · High EPSS 0.19% · P9

影响版本矩阵 2

厂商产品版本范围状态
filamentphpfilament>= 4.0.0, < 4.11.5affected
>= 5.0.0, < 5.6.5affected
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2026-48505 基础信息

漏洞信息

对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
Filament: Multi-factor authentication (app) recovery codes can still be used multiple times via concurrent submission
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Filament is a collection of full-stack components for accelerated Laravel development. From 4.0.0 until 4.11.5 and 5.6.5, a flaw in the handling of recovery codes for app-based multi-factor authentication allows the same recovery code to be reused via concurrent submission. This issue does not affect email-based MFA. It also only applies when recovery codes are enabled. If an attacker gains access to both the user's password and their recovery codes, they get two authenticated sessions per recovery code burned instead of one, or more if they batch the parallel submissions wider, materially extending the attacker's window of access compared to what the single-use guarantee implies. This vulnerability is fixed in 4.11.5 and 5.6.5.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
使用共享资源的并发执行不恰当同步问题(竞争条件)
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
filamentphp filament 竞争条件问题漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
filamentphp filament是filamentphp团队开源的一套Laravel后台管理面板。 filamentphp filament 4.0.0至4.11.5之前版本和5.0.0至5.6.5之前版本存在安全漏洞,该漏洞源于处理应用多因素认证的恢复码时存在竞争条件问题,可能导致同一恢复码通过并发提交重复使用。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD

受影响产品

厂商产品影响版本CPE订阅
filamentphpfilament >= 4.0.0, < 4.11.5 -

二、漏洞 CVE-2026-48505 的公开POC

#POC 描述源链接神龙链接
AI 生成 POC高级
Qwen3.6-35B-A3B · 6216 chars
Pro+ 专属包含:
漏洞复现靶场录像(真实沙箱构建 + 触发,独家)
漏洞原理深度分析
触发条件与影响面
完整可执行 POC 代码
利用链与缓解建议
POC 打包下载
每月 100+ 条 AI 生成额度

三、漏洞 CVE-2026-48505 的情报信息

登录查看更多情报信息。

CVE-2026-48505 厂商安全公告 (1)

同批安全公告 · filamentphp · 2026-06-22 · 共 6 条

CVE-2026-554097.6 HIGHfilamentphp filament 跨站脚本漏洞
CVE-2026-485006.5 MEDIUMfilamentphp filament 授权问题漏洞
CVE-2026-480676.5 MEDIUMfilamentphp filament 授权问题漏洞
CVE-2026-481676.4 MEDIUMfilamentphp filament 跨站脚本漏洞
CVE-2026-481665.3 MEDIUMfilamentphp filament 信息泄露漏洞

IV. Related Vulnerabilities

V. Comments for CVE-2026-48505

暂无评论


发表评论