发布日期：2026-01-29
更新日期：2026-02-10

受影响系统：

Runtipi Runtipi >= 4.5.0 < 4.7.2

描述：

---

CVE(CAN) ID: CVE-2026-25116

Runtipi是Runtipi开源的一个家庭服务器编排器。
Runtipi 4.7.2之前版本存在路径遍历漏洞，该漏洞源于该工具未对URN解析进行安全处理，导致未授权远程用户可覆盖系统的“docker-compose.yml”配置文件，攻击者可利用该漏洞，用恶意配置替换主栈配置，实现远程代码执行并破坏主机文件系统。

<**>

建议：

---

厂商补丁：

Runtipi
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/runtipi/runtipi/releases

浏览次数：32
严重程度：0（网友投票）