关键信息总结 漏洞概述 漏洞名称: Insufficient patch for DNS rebind leading to RCE 漏洞编号: GHSA-3q5q-p8vj-8783 CVE ID: CVE-2026-24853 严重性: High (8.1 / 10) 影响范围 受影响的版本: - caido: < 0.55.0 - caido-desktop: < 0.55.0 已修复的版本: - caido: 0.55.0 - caido-desktop: 0.55.0 CVSS v3 基础度量 攻击向量: Network 攻击复杂性: High 所需权限: None 用户交互: None 作用范围: Unchanged 机密性: High 完整性: High 可用性: High 漏洞描述 摘要: Caido 通过阻止未列入白名单的域通过 8080 端口进行连接,并在所有端点上显示 。但可以通过注入 头来绕过这一限制。 影响: 类似于 CVE-2025-49004 的影响。如果用户允许我们控制的域名打开弹窗(此权限在无头模式下不需要),我们可以在用户系统上执行 RCE。 防护措施: 如果无法更新 Caido,可以通过在设置中禁用 Guest 模式来保护实例。 弱点 已知弱点: No CWEs 信誉 报告者: bhavya32