关键信息 CVE编号: CVE-2025-61876 漏洞类型: Insecure Direct Object Reference (IDOR) 发布日期: 2025年10月29日 厂商: Inforcar Ltd 受影响版本: 2.0.703(影响在2025年10月1日前的版本) 风险等级: 中等 (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/L:N/I:A/N) 摘要 Inforcar在接到漏洞通知后三小时内迅速响应并发布了热补丁,展示了其对安全性的高度重视。 影响 该漏洞允许低权限认证用户通过简单修改请求中的租户ID来访问其他客户的敏感租户信息,如租户标识符、DNS名称、应用ID和通知电子邮件地址。这可能导致数据泄露、社会工程攻击或被攻击者利用,严重破坏多租户环境中的保密性和隔离保证。 细节 API端点未能执行适当的授权检查,导致认证用户可以通过修改URL中的租户ID访问其他客户的租户信息。示例请求和响应显示了如何通过更改路径参数中的数字ID来访问其他客户的租户详情。 建议 在所有与租户相关的API端点上实施严格的授权检查,确保用户只能访问与其权限相匹配的资源。应将传入的租户ID与服务器端验证的用户权限进行比较,而不是依赖客户端提供的标识符。考虑使用间接对象引用(如opaque标识符或GUIDs)代替顺序数字ID,以减少枚举风险。还应在开发周期中集成非法访问控制测试和自动化安全检查,以防止未来出现类似问题。 时间线 Silvatech于2025年10月1日通知厂商。 厂商于2025年10月9日确认漏洞。 厂商于2025年10月1日发布补丁。 Silvatech于2025年10月2日重新测试并确认修复。 顾问报告于2025年10月29日发布。