#cwe-922 主题 - Cyber Security Daily Radar

CVE-2026-46511

HAX CMS helps manage microsite universe with PHP or NodeJs backends. Prior to version 26.0.0, an attack chain utilizing Stored XSS alongside dynamic token exposure in the `/system/api/connectionSettings` endpoint allows an authenticated attacker to perform a complete cross-tenant account takeover. The API dynamically leaks the active session's authentication tokens (including the `jwt`, `user_toke

💡 影响/原因: 原文内容（由于配额限制，未进行深度 LLM 分析）

🎯 建议动作: 建议根据原文自行评估

排序因子: Primary 数据源 (+3) | LLM 评分加成 (+0.4)

CVE-2026-7257

CVE-2026-7257 是 Zyxel WRE6505 v2 无线路由器/扩展器固件版本 V1.00(ABDV.3)C0 中的一个漏洞。该漏洞被标记为“UNSUPPORTED WHEN ASSIGNED”，意味着该产品已停止支持，不再接收安全更新。漏洞类型为敏感信息的不安全存储，位于设备的配置文件中。具有管理员权限的本地攻击者可以利用此漏洞下载并解密备份配置文件，从而获取包括密码、密钥等在内的敏感配置信息。CVSS 评分为 4.4（中等），攻击向量为本地，攻击复杂度低，需要高权限，影响机密性（高），不影响完整性和可用性。由于产品已停止支持，厂商不会发布补丁。建议用户立即停止使用该设备或升级到受支持的新型号。已确认未列入 CISA KEV 目录，且未有在野利用报告。

💡 影响/原因: Zyxel WRE6505 v2 已停止支持，该漏洞可导致管理员权限下的敏感配置泄露，且无法修复，替换设备是唯一有效的缓解措施。

排序因子: 有可用补丁/修复方案 (+3) | Primary 数据源 (+3) | LLM 评分加成 (+0.4)

Cyber Security Daily Radar

#cwe-922

HAX CMS helps manage microsite universe with PHP or NodeJs backends. Prior to version 26.0.0, an attack chain utilizing Stored XSS alongside dynamic token exposure in the `/syst...

UNSUPPORTED WHEN ASSIGNED An insecure storage of sensitive information vulnerability in the configuration file of Zyxel WRE6505 v2 firmware version V1.00(ABDV.3)C0 could a...

#cwe-922

HAX CMS helps manage microsite universe with PHP or NodeJs backends. Prior to version 26.0.0, an attack chain utilizing Stored XSS alongside dynamic token exposure in the `/syst...

** UNSUPPORTED WHEN ASSIGNED ** An insecure storage of sensitive information vulnerability in the configuration file of Zyxel WRE6505 v2 firmware version V1.00(ABDV.3)C0 could a...

UNSUPPORTED WHEN ASSIGNED An insecure storage of sensitive information vulnerability in the configuration file of Zyxel WRE6505 v2 firmware version V1.00(ABDV.3)C0 could a...