发布日期：2026-02-10
更新日期：2026-04-02

受影响系统：

Catalyst Catalyst

描述：

---

CVE(CAN) ID: CVE-2026-26009

Catalyst是karutoil个人开发者的一个Web应用程序框架。
Catalyst存在操作系统命令注入漏洞，该漏洞源于服务器模板中定义的安装脚本会通过bash-c直接以root权限在宿主机操作系统上执行，且未经过任何沙箱或容器化隔离，任何拥有template.create或template.update权限的攻击者可以定义任意shell命令，从而攻击者可利用该漏洞在集群中的每个节点上实现完全的root级远程代码执行。

<**>

建议：

---

厂商补丁：

Catalyst
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/karutoil/catalyst/commit/11980aaf3f46315b02777f325ba02c56b110165d

浏览次数：163
严重程度：0（网友投票）