发布日期：2026-02-03
更新日期：2026-05-18

受影响系统：

Rapid7 InsightVM < 8.34.0

描述：

---

CVE(CAN) ID: CVE-2026-1568

Rapid7 InsightVM是美国Rapid7公司的一款漏洞扫描和管理应用程序。
Rapid7 InsightVM 8.34.0之前版本存在身份认证错误漏洞，该漏洞源于端点接口未严格校验 SAML断言签名，允许接受未做签名的非法断言数据，攻击者可利用该漏洞构造恶意无签名断言请求，绕过身份校验逻辑，系统仍正常生成合法会话Cookie，从而冒用目标用户身份登录系统。

<**>

建议：

---

厂商补丁：

Rapid7
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://docs.rapid7.com/insight/command-platform-release-notes/

浏览次数：73
严重程度：0（网友投票）