关键信息总结 漏洞名称 Broken Access Control: "Favourite Output Channel Configuration" Missing Function Level Authorization 漏洞详情 描述: 应用程序未在管理“Favourite Output Channel Configurations”的API端点上执行适当的服务器端授权检查。测试显示,一个没有明确权限的认证后端用户仍能成功调用此端点并修改或检索这些配置。这违反了最小权限原则,构成典型的破坏访问控制(OWASP Top 10 A01:2021)。 影响版本与修复版本 受影响版本: - - 已修复版本: - - 漏洞摘要 重要性: 漏洞会导致权限升级,允许任意认证用户执行仅限于特权角色的动作,导致水平或垂直权限提升。 漏洞步骤再现 包括登录、API操作等步骤,具体操作如截图中所展示。 漏洞影响 成功利用漏洞后,低权限用户或标准用户能够访问、创建、修改或查看应限制给特定管理员或工作人员的数据和设置。 漏洞严重性评估 严重性: 中等 (5.4 / 10) CVE ID: CVE-2026-23496 CVSS v3.1: AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N 基本度量: 包括攻击向量、攻击复杂性、所需权限等;如攻击复杂性低,特权需求低等。 总结 此漏洞允许较低权限的用户执行应属于管理员权限的操作,进而可能在业务软件及应用中产生敏感信息泄露、操作干扰等影响。