Dalfox Server Mode Vulnerable to Unauthenticated Remote Code Execution via `found-action` — CVE-2026-45087
GitHub · GitHub · CVE-2026-45087
ID
CVE-2026-45087
CVE-2026-45087
Date
Activity
Source
GitHub
GitHub
Fournisseur
GitHub
GitHub
Risque
critical
critical
CVSS
10
10
Résumé
# GHSA: Unauthenticated Remote Code Execution via `found-action` in Dalfox Server Mode ## Summary When dalfox is started in REST API server mode (`dalfox server`), the server binds to `0.0.0.0:6664` by default and requires no API key unless the operator explicitly passes `--api-key`. Because `model.Options` — including `FoundAction` and `FoundActionShell` — is deserialized directly from attacker-supplied JSON in…
Produit
go: github.com/hahwul/dalfox/v2
Que faire
Mesures générales et prudentes (vérifiez les détails dans la source officielle) :
- Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
- Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
- Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
- Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.