目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

CVE-2026-58266— Anki 若 iframe 中用户脚本可访问内部 API 漏洞

CVSS 6.5 · Medium EPSS 0.17% · P6
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2026-58266 基础信息

漏洞信息

对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
Anki: User scripts in iframes have access to the internal Anki API
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Anki is a program for creating and reviewing flashcards. Prior to 25.09.4, Anki's webview-based pages communicate with the Rust backend using an internal localhost API, and user scripts included via iframes in the editor can access this API despite protections intended to block reviewer and editor scripts. A malicious imported card package with an embedded iframe can use exposed API methods such as getImageForOcclusion to read arbitrary files accessible to the Anki process and exfiltrate them over the network. This issue is fixed in version 25.09.4.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
源验证错误
来源: 美国国家漏洞数据库 NVD

受影响产品

厂商产品影响版本CPE订阅
ankitectsanki < 25.09.4 -

二、漏洞 CVE-2026-58266 的公开POC

#POC 描述源链接神龙链接
AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2026-58266 的情报信息

登录查看更多情报信息。

CVE-2026-58266 补丁与修复 (1)

CVE-2026-58266 厂商安全公告 (1)

CVE-2026-58266 厂商页面 (1)

IV. Related Vulnerabilities

V. Comments for CVE-2026-58266

暂无评论


发表评论