漏洞关键信息 漏洞名称: FastApiAdmin up to 2.2.0 Scheduled Task API controller.py user_avatar_upload_controller unrestricted upload CVE编号: CVE-2026-2979 CVSS评分: - CVSSv3: 6.3 - CVSSv2: 5.7 漏洞描述: - 影响的版本: FastApiAdmin up to 2.2.0 - 漏洞原因: 在 文件的 函数中存在不受限制的上传漏洞。 - 影响的组件: Scheduled Task API - 风险: 可以上传或转移产品环境中可以自动处理的危险类型文件,影响保密性、完整性和可用性。 利用信息: - 利用类别: Unrestricted upload - CWE: CWE-434, CWE-284, CWE-266 - 公开情况: 有公开的exploit - 远程利用: 可以远程发起攻击 - 相关信息: 该漏洞利用已有的CVE编号为CVE-2026-2979,可在GitHub上找到公开的exploit。 威胁情报: - 当前利用价格: $0-$5k - CTI兴趣评分: 3.78- - 活跃APT组: 暂无明确信息 时间线: - 2022年2月22日,公开了顾问信息,并创建了VulDB条目。 - 漏洞的最后更新也为2022年2月22日。 来源: - 漏洞相关信息: 来自GitHub.com的顾问 - 相关CVE: CVE-2026-2979 - 相关GCVE: GCVE-0-2026-2979, GCVE-100-347363 防护措施: - 目前没有已知的mitigation措施,建议替代受影响的产品。