关键漏洞信息 漏洞类型 业务逻辑错误 (Business Logic Errors) 影响版本 FreeScout v1.8.173 和 1.8.174 CWE ID CWE-841: 不当的行为工作流强制执行 CVSS 评分 严重性: 中等 (5.1/10) 攻击向量: 网络 攻击复杂度: 低 权限要求: 预先认证 用户交互: 无 机密性影响: 高 完整性影响: 低 可用性影响: 低 漏洞描述 应用程序的工作流程逻辑需要用户执行特定序列的操作来启用特定功能。然而,存在一个漏洞允许用户绕过一个或多个所需操作,但仍能访问该功能。 漏洞参数 利用条件 存在包含 的未验证邀请电子邮件。 漏洞代码片段 缓解措施 建议应用程序逻辑在允许实现任何功能之前,强制执行指定顺序中所有必需步骤的完成。 研究发现 研究人员发现FreeScout中的零日漏洞“业务逻辑错误”,引入了一个Mass Assignment漏洞。攻击者可以利用此漏洞自行激活其账户,即使被阻止或删除,通过利用邀请邮件中的链接获得初始访问权限。