关键信息 漏洞概述 漏洞名称: 反序列化漏洞存在于 Tendenci Helpdesk 模块 CVE ID: CVE-2026-23946 GitHub Advisory ID: GHSA-339m-4qw5-j2g3 影响版本 受影响版本: 15.3.11 及更早版本 修复版本: 15.3.12 漏洞详情 严重性: 中等(CVSS v3 base metrics: 6.8/10) CVE 关联: - CVE-2020-14942 (原始反序列化漏洞,部分被修补) 组件: tendenci/apps/helpdesk/views/staff.py 关键发现: 原始 CVE-2020-14942 的修补不完全。虽然 修复以使用安全的 JSON 反序列化,但 仍使用不安全的 影响范围: 受限于运行应用程序的用户权限,通常是 www-data,一般缺乏写入(除了上传目录)和执行权限 Tendenci 用户角色层次 代码对比(已修补 vs 漏洞) 修复措施 更新 Tendenci 至最新版本(v15.3.12)以修复漏洞