CVE-2026-5842decolua 9router 在版本 0.3.47 及之前版本中存在严重的安全漏洞。该漏洞源于管理 API 端点 /api 中的授权验证逻辑缺失,允许攻击者在无需认证的情况下远程绕过授权限制。成功利用此漏洞可能导致系统面临机密性、完整性和可用性泄露的风险。由于漏洞利用代码已公开,建议管理员立即采取修复措施以防止潜在攻击。
该漏洞的核心在于 decolua 9router 管理接口的授权机制失效。受影响的组件是位于 /api 路径的管理 API 端点。在受影响版本中,系统未能正确验证用户的身份凭证或权限级别,导致未授权的攻击者可以直接访问受保护的管理功能。
攻击者可以通过网络向目标服务器发送特制的 HTTP 请求至 /api 端点。由于 CVSS 向量显示 PR:N(无需权限)和 UI:N(无需交互),攻击者无需用户登录或点击链接即可发起攻击。通过构造特定的 API 调用,攻击者可以绕过身份验证环节,直接执行本应仅限管理员执行的操作。这种缺陷通常是由于代码中未正确实施中间件或过滤器检查,或者存在逻辑错误导致校验流程被跳过。攻击链简单且易于自动化,结合公开的 PoC 脚本,攻击者可快速扫描并入侵未修补的服务器,进而获取敏感数据或破坏服务运行。