发布日期：2026-02-09
更新日期：2026-04-13

受影响系统：

Litestar Litestar < 2.20.0

描述：

---

CVE(CAN) ID: CVE-2026-25480

Litestar是Litestar开源的一个强大、灵活但固执己见的ASGI框架。
Litestar 2.20.0之前版本存在访问控制错误漏洞，该漏洞源于使用Unicode NFKD归一化和ord()替换将缓存键映射到文件名，且未使用分隔符从而导致键冲突, FileStore被用作响应缓存后端时，未经身份验证的远程攻击者可利用该漏洞精心构造的路径触发缓存键冲突，使一个URL提供另一个URL的缓存响应。

<*链接：https://github.com/litestar-org/litestar/security/advisories/GHSA-vxqx-rh46-q2pg
*>

建议：

---

厂商补丁：

Litestar
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/litestar-org/litestar/releases/tag/v2.20.0

浏览次数：7
严重程度：0（网友投票）