漏洞总结:serge-chat Model API Endpoint 缺少身份验证 漏洞概述 漏洞名称:serge-chat 1.4TB Model API Endpoint 的 / 缺少身份验证 CVE 编号:CVE-2026-6588 严重程度:Critical (严重) CVSS 评分:5.9 漏洞类型:Missing Authentication (缺少身份验证) CWE 编号:CWE-306, CWE-287 利用难度:Easy (容易) 攻击方式:Remote (远程) 影响范围 受影响产品:serge-chat (Chat Software) 受影响版本:1.4TB 受影响组件: 中的 和 函数 影响后果: 完整性 (Integrity) 和可用性 (Availability) 受损。 攻击者无需身份验证即可读取、下载或删除模型。 可能导致敏感数据泄露或服务中断。 修复方案 当前状态:页面显示 "no mitigation known" (暂无已知缓解措施)。 建议措施: 为 和 API 端点添加身份验证机制。 确保只有经过授权的用户才能执行这些操作。 考虑替换受影响的对象或使用替代产品(如果无法及时修复)。 利用代码 (POC) 页面状态:页面中 未提供 具体的 POC 代码或利用代码块。 可利用性说明: 页面指出 "The identification of this vulnerability is CVE-2026-6588. The exploitation is known to be easy." (该漏洞的识别是 CVE-2026-6588。利用已知很容易。) "The exploit is available at gist.github.com." (利用代码可在 gist.github.com 获取。) "It is declared as proof-of-concept." (被声明为概念验证。) 因此,虽然页面本身没有包含代码,但明确指向外部资源(gist.github.com)存在可利用的 PoC。