CVE-2026-7714crocodilestick Calibre-Web-Automated 版本 4.0.6 及之前版本存在安全漏洞。该漏洞位于 `cps/cwa_functions.py` 文件的管理端点组件中,由于缺少关键的身份验证机制,导致攻击者无需登录即可访问受限功能。攻击者可远程发起攻击,利用此缺陷绕过认证并可能导致数据篡改。目前漏洞利用代码已公开,官方尚未发布修复补丁。
该漏洞的根源在于 crocodilestick Calibre-Web-Automated 项目的 `cps/cwa_functions.py` 文件中,管理员端点的部分功能未实施严格的身份验证检查。虽然该端点逻辑上应仅限授权管理员访问,但由于代码实现缺陷,系统在处理特定路径请求时完全跳过了会话验证或凭证校验环节。攻击者可以通过网络向量(AV:N)直接向目标服务器发起远程攻击,整个过程无需任何用户交互(UI:N)或预先获取系统权限(PR:N)。利用此漏洞,攻击者能够构造特定的 HTTP 请求直接调用受影响的后台管理功能,从而对系统进行未授权操作,导致数据完整性(I:L)和服务可用性(A:L)受损。目前相关 PoC 已公开,且尽管开发者已收到 Pull Request 通知,但截至披露时尚未修复,这使得该漏洞对暴露在公网的服务器具有极高的风险。