🔴 《严重安全漏洞:CVE-2026-13014》

CVSS 评分: 严重(9.2)  状态: Received  发布时间: 2026-07-13


漏洞简介

该漏洞存在于 Thales CERT "Suspicious" 应用 的版本 <= 1.3.4 中,被命名为 "Matryoshka Mail"。漏洞涉及多个 CWE 分类,包括 CWE-22(路径遍历,Path Traversal)CWE-73(外部控制文件名或路径,External Control of File Name or Path) 以及 CWE-94(代码生成控制不当,Improper Control of Generation of Code)

远程且未经过身份验证的攻击者能够利用此漏洞执行任意代码(arbitrary code),并任意覆写可写的应用文件——包括 Python 模块(Python modules)配置文件(configuration files)cron 输入(cron inputs) 以及 运行时工件(runtime artifacts)。这会导致以下后果:

  • 持久性拒绝服务(persistent denial of service)
  • 应用密钥或集成信息(application secrets or integrations)的潜在泄露
  • Django 应用容器(Django application container) 内以 root 权限(root-level execution) 执行代码

影响范围

  • 受影响软件:Thales CERT "Suspicious" 应用
  • 受影响版本:版本 <= 1.3.4
  • 攻击条件:远程、无需身份验证、无需用户交互
  • 攻击复杂度:低(Low),但需要攻击者具备一定的网络访问能力(攻击所需目标可达性为 AT:P,即部分可达)

风险分析

根据 CVSS 4.0 评分向量 CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X,该漏洞的 基础评分极高,具体风险如下:

维度 评估 说明
攻击向量(AV) 网络(Network) 攻击者可通过网络远程利用
攻击复杂度(AC) 低(Low) 无需特殊条件或复杂步骤
攻击所需目标可达性(AT) 部分(Partial) 攻击者需能访问到目标服务的特定端口或路径
权限要求(PR) 无(None) 无需任何身份验证
用户交互(UI) 无(None) 无需受害者操作
机密性影响(VC) 高(High) 可读取容器内所有敏感数据,包括密钥、配置、数据库凭证等
完整性影响(VI) 高(High) 可任意修改应用文件、Python 模块、cron 任务等
可用性影响(VA) 高(High) 可导致持久性拒绝服务,甚至完全破坏应用运行
后续系统机密性(SC) 无(None) 漏洞本身不直接泄露容器外系统信息
后续系统完整性(SI) 无(None) 漏洞本身不直接修改容器外系统
后续系统可用性(SA) 无(None) 漏洞本身不直接影响容器外系统

综合风险等级严重(Critical)。攻击者无需任何权限即可远程触发,且能完全控制 Django 应用容器(以 root 权限运行),进而实现持久化后门、窃取敏感信息、破坏服务可用性。由于容器内通常运行着与外部系统集成的服务(如邮件处理、API 调用等),攻击者可能进一步利用容器权限进行横向移动或数据泄露。

漏洞发现者:Lucien Doustaly(又名 wlayzz),由 Thales PSIRT 确认并致谢。


🔍 技术细节

字段
CVE ID CVE-2026-13014
CVSS 评分 9.2 🔴
严重程度 严重
CVSS 向量 CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
CWE 分类 CWE-22,CWE-73,CWE-94
发布时间 2026-07-13
最后更新 2026-07-13
状态 Received
数据来源 psirt@thalesgroup.com

🔗 参考链接