支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2026-23844 基础信息
漏洞信息
                                        # Whisper Money IDOR漏洞

## 概述
Whisper Money 是一款个人理财应用,其 0.1.5 版本之前存在不安全的直接对象引用(IDOR)漏洞。

## 影响版本
0.1.5 之前的版本。

## 细节
攻击者可利用该漏洞创建或修改其他用户的银行账户余额,因应用未正确验证用户对目标账户的访问权限。

## 影响
未授权用户可篡改他人账户余额,导致数据完整性受损,可能引发财务损失或信息泄露。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Whisper Money has IDOR Vulnerability on sync/balances endpoint
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Whisper Money is a personal finance application. Versions prior to 0.1.5 have an insecure direct object reference vulnerability. A user can update/create account balances in other users' bank accounts. Version 0.1.5 fixes the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
对错误会话暴露数据元素
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2026-23844 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2026-23844 的情报信息

  • 标题: Check IDOR vulnerabilities by victor-falcon · Pull Request #60 · whisper-money/whisper-money · GitHub -- 🔗来源链接

    标签:x_refsource_MISC

    神龙速读:
                                            ## 关键信息

- **漏洞类型**: IDOR (Insecure Direct Object References)
- **问题编号**: #60
- **状态**: 已合并 (Merged)
- **提交者**: victor-falcon
- **合并时间**: 3天前
- **合并的提交**: 
  - 80117c3
- **变更的文件数**: 8个
- **提交信息**:
  - 添加了一些IDOR测试
  - 添加了类别验证
  - 修复了同步端点的IDOR问题
  - 修复了测试问题
- **检查结果**:
  - 成功: 2个
  - 失败: 2个
  - 被忽略: 1个
- **开发进展**:
  - 成功合并此拉取请求可能会关闭这些问题
    Check IDOR vulnerabilities by victor-falcon · Pull Request #60 · whisper-money/whisper-money · GitHub

  • 标题: IDOR Vulnerability on sync/balances endpoint · Advisory · whisper-money/whisper-money · GitHub -- 🔗来源链接

    标签:x_refsource_CONFIRM

    神龙速读:
                                            ### 关键信息

#### 漏洞概述
- **漏洞类型**:IDOR 漏洞
- **受影响端点**:`sync/balances`
- **漏洞描述**:用户可以更新或创建其他用户银行账户的账户余额。

#### 影响
- **风险等级**:中等
- **影响描述**:用户能够更新或创建其他用户的银行账户余额,可能造成资金操作错误或恶意篡改。

#### 影响版本
- **受影响版本**: `< v0.1.4`
- **修复版本**: `v0.1.5`

#### 其他信息
- **CVE ID**:CVE-2026-23844
- **报告者**:`a7maadf`
- **补丁更新**:[#60](#60)
    IDOR Vulnerability on sync/balances endpoint · Advisory · whisper-money/whisper-money · GitHub

  • 标题: fix: Check IDOR vulnerabilities (#60) · whisper-money/whisper-money@80117c3 · GitHub -- 🔗来源链接

    标签:x_refsource_MISC

    神龙速读:
                                            ### 关键信息

- **漏洞类型**: IDOR (Insecure Direct Object References)
- **修复措施**: 
    - 在多个请求处理文件中增加了对 `user_id` 的验证,确保操作的对象属于当前用户,而非任意其他用户。例如:
    - `BulkUpdateTransactionsRequest.php`、`StoreAccountBalanceRequest.php`、`StoreTransactionRequest.php` 和 `UpdateTransactionRequest.php` 文件中都添加了以下规则:
        ```php
        Rule::exists('categories', 'id')->where(function ($query) {
            $query->where('user_id', $this->user()->id);
        }),
        ```
- **更新文件**: 
    - `BulkUpdateTransactionsRequest.php`
    - `StoreAccountBalanceRequest.php`
    - `StoreTransactionRequest.php`
    - `UpdateTransactionRequest.php`
    - `phpunit.xml`
    - `AccountBalanceSyncControllerTest.php`
    - `IdorVulnerabilityTest.php`
    - `TransactionSyncTest.php`
- **测试用例增强**: 
    - 新增和修改了多个测试用例,验证修复后的功能,例如:
        - `AccountBalanceSyncControllerTest.php`
        - `TransactionSyncTest.php`
- **相关提交**: 
    - 参与修复的提交哈希为 `80117c3`,修复了IDOR漏洞的问题,关联Issue编号为`#60`。
    fix: Check IDOR vulnerabilities (#60) · whisper-money/whisper-money@80117c3 · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2026-23844
四、漏洞 CVE-2026-23844 的评论

暂无评论

发表评论