漏洞概述 漏洞编号: CVE-2026-55736 漏洞描述: 在 中,用户输入可以设置本应由受信任的服务器端代码控制的私有操作参数。这可能导致完整性违规或权限提升。 CVSS 评分: 5.9 (中等) 弱点类型 (CWE): CWE-919 — 对动态确定对象属性的不当控制修改 CAPEC: CAPEC-77 — 操纵用户控制的变量 影响范围 受影响版本: 3.0.0 到 3.29.3 受影响模块: 受影响源文件: 受影响例程: - - - - 修复方案 修复版本: 修复链接: GitHub Commit 配置 操作应声明一个私有参数(定义为 ),其值仅由受信任的服务器端代码设置。 应用程序应从不受信任的用户提供的参数构建 changeset,并将它们直接传递给 、 、 或原子/批量更新。 参考 GitHub Advisory OSV Vulnerability GitHub Commit 致谢 发现者: Alfred Vié 修复审查员: Zach Daniel 分析师: Jonatan Männchen / EEF