🔴 严重 | CVE-2026-13014 — A vulnerability in Thales CERT "Suspicious" applic...
🔴 《严重安全漏洞:CVE-2026-13014》
CVSS 评分: 严重(9.2) 状态: Received 发布时间: 2026-07-13
漏洞简介
该漏洞存在于 Thales CERT "Suspicious" 应用 的版本 <= 1.3.4 中,被命名为 "Matryoshka Mail"。漏洞涉及多个 CWE 分类,包括 CWE-22(路径遍历,Path Traversal)、CWE-73(外部控制文件名或路径,External Control of File Name or Path) 以及 CWE-94(代码生成控制不当,Improper Control of Generation of Code)。
远程且未经过身份验证的攻击者能够利用此漏洞执行任意代码(arbitrary code),并任意覆写可写的应用文件——包括 Python 模块(Python modules)、配置文件(configuration files)、cron 输入(cron inputs) 以及 运行时工件(runtime artifacts)。这会导致以下后果:
- 持久性拒绝服务(persistent denial of service)
- 应用密钥或集成信息(application secrets or integrations)的潜在泄露
- 在 Django 应用容器(Django application container) 内以 root 权限(root-level execution) 执行代码
影响范围
- 受影响软件:Thales CERT "Suspicious" 应用
- 受影响版本:版本 <= 1.3.4
- 攻击条件:远程、无需身份验证、无需用户交互
- 攻击复杂度:低(Low),但需要攻击者具备一定的网络访问能力(攻击所需目标可达性为 AT:P,即部分可达)
风险分析
根据 CVSS 4.0 评分向量 CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X,该漏洞的 基础评分极高,具体风险如下:
| 维度 | 评估 | 说明 |
|---|---|---|
| 攻击向量(AV) | 网络(Network) | 攻击者可通过网络远程利用 |
| 攻击复杂度(AC) | 低(Low) | 无需特殊条件或复杂步骤 |
| 攻击所需目标可达性(AT) | 部分(Partial) | 攻击者需能访问到目标服务的特定端口或路径 |
| 权限要求(PR) | 无(None) | 无需任何身份验证 |
| 用户交互(UI) | 无(None) | 无需受害者操作 |
| 机密性影响(VC) | 高(High) | 可读取容器内所有敏感数据,包括密钥、配置、数据库凭证等 |
| 完整性影响(VI) | 高(High) | 可任意修改应用文件、Python 模块、cron 任务等 |
| 可用性影响(VA) | 高(High) | 可导致持久性拒绝服务,甚至完全破坏应用运行 |
| 后续系统机密性(SC) | 无(None) | 漏洞本身不直接泄露容器外系统信息 |
| 后续系统完整性(SI) | 无(None) | 漏洞本身不直接修改容器外系统 |
| 后续系统可用性(SA) | 无(None) | 漏洞本身不直接影响容器外系统 |
综合风险等级:严重(Critical)。攻击者无需任何权限即可远程触发,且能完全控制 Django 应用容器(以 root 权限运行),进而实现持久化后门、窃取敏感信息、破坏服务可用性。由于容器内通常运行着与外部系统集成的服务(如邮件处理、API 调用等),攻击者可能进一步利用容器权限进行横向移动或数据泄露。
漏洞发现者:Lucien Doustaly(又名 wlayzz),由 Thales PSIRT 确认并致谢。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-13014 |
| CVSS 评分 | 9.2 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
| CWE 分类 | CWE-22,CWE-73,CWE-94 |
| 发布时间 | 2026-07-13 |
| 最后更新 | 2026-07-13 |
| 状态 | Received |
| 数据来源 | psirt@thalesgroup.com |