发布日期：2026-02-12
更新日期：2026-04-02

受影响系统：

TheCfU Scraparr >= 3.0.0-beta < 3.0.2

描述：

---

CVE(CAN) ID: CVE-2026-26069

Scraparr是TheCfU组织的一个用于*arr套件各组件的Prometheus导出器。
Scraparr 3.0.0-beta至3.0.2之前版本存在未授权访问漏洞，该漏洞源于当启用Readarr集成时，导出器将配置的Readarr API密钥暴露为别名度量标签值，当/metrics端点公开可访问时，攻击者可利用该漏洞通过导出指标数据泄露Readarr API密钥。

<*链接：https://github.com/thecfu/scraparr/security/advisories/GHSA-hx24-222f-w5cj
*>

建议：

---

厂商补丁：

TheCfU
------
TheCfU已经为此发布了一个安全公告（CVE-2026-26069）以及相应补丁:
CVE-2026-26069：Readarr Integration exposes sensitive values as metric labels.
链接：https://github.com/thecfu/scraparr/security/advisories/GHSA-hx24-222f-w5cj

补丁下载：

浏览次数：178
严重程度：0（网友投票）