CVE-2026-44057Netatalk 3.0.0至4.4.2版本的Spotlight RPC反序列化程序中存在边界检查失效漏洞。由于特定条件下关键的边界检查代码不可达,导致程序失去了预期的边界保护机制。经过身份认证的远程攻击者可利用此漏洞,通过精心制作的Spotlight RPC请求,从目标系统获取有限的敏感信息。虽然影响有限,但仍存在信息泄露风险。
该漏洞的根源在于Netatalk软件中处理Spotlight RPC协议的反序列化组件存在逻辑缺陷。具体而言,代码中包含一个旨在验证数据边界的安全检查,但由于前置条件的判断错误,导致该检查代码段在运行时永远不会被执行(即形成不可达代码)。这使得反序列化过程失去了预期的边界保护机制。攻击者仅需具备低权限用户身份,即可通过网络向目标服务器发送特制的Spotlight RPC请求。由于边界检查失效,恶意构造的请求参数可能导致程序越界读取内存,从而泄露敏感信息。尽管该漏洞不影响系统完整性和可用性,但仍可能被利用窃取特定配置或内部状态数据。