关键信息 漏洞详情 CVE ID: CVE-2026-26721 安全风险: 会话劫持 供应商: Key Systems Inc. 受影响的产品: 全球设施管理软件(Global Facilities Management Software) 受影响的资产: 查询参数 易受影响版本: 20230721a 修复版本: N/A 研究者: Chandler Johnson NIST CVE链接: https://nvd.nist.gov/vuln/detail/CVE-2026-26721 描述 全球设施管理软件(Global Facilities Management Software)20230721a通过URL查询参数 暴露了会话标识符,而不是使用HTTP cookie或其他安全的会话处理策略。如果会话令牌包含在GET请求中,可能会无意中通过浏览器历史记录、服务器日志、Referer头部信息、网络流量监控或共享的URL暴露出去。一个获取了有效 值的攻击者可以将其在浏览器中重放,劫持认证用户会话,导致未经授权访问应用程序和关联的用户权限。这种风险可能导致完整的会话被导向,而无需认证凭据。 CVSS脆弱性评分计算器3.1 AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N CVSS基础评分: 7.1(高) 影响 会话劫持 重现步骤 1. 通过导航到面板验证GFMS版本 2. 认证并观察HTTP响应不设置任何会话cookie,而是将一个会话标识符( )以查询参数的形式附加到随后面临的URL - 3. 在另一个浏览器中通过使用有效 查询参数重放GET请求,以劫持受害者的会话 附加信息 攻击者通过分析网络流量、查看日志、观察Referer头部信息或获取了共享链接就能得以利用URL查询参数中暴露的会话标识符,使得未经授权的访问应用程序。当应用程序在查询参数中传输会话令牌,而不是通过安全的cookie,活动会话和关联的数据就倒向了显著的劫持风险。 推荐措施 从URL中移除会话标识符 注销时使会话无效 实施较短的会话时长 严格实施会话终止控制,以缓解会话劫持攻击 在身份认证时轮转会话标识符 实施额外的会话绑定控制(纵深防御)