漏洞关键信息 漏洞概览 标题: Broken Access Control in Procedures Configuration CVE ID: CVE-2026-25131 严重性: High (8.8/10) 受影响版本: <8.0.0 修复版本: 8.0.0 CVSS v3 指标: - 攻击向量: Network - 攻击复杂度: Low - 必要权限: Low - 用户交互: None - 作用范围: Unchanged - 机密性影响: High - 完整性影响: High - 可用性影响: High 漏洞描述 位置: 文件 根本原因: - 缺少适当的授权检查 - 代码未验证用户权限 - 任何认证用户均可访问此端点,无论其权限 - 表单提交缺少CSRF保护 影响 允许低权限用户查看、添加、修改和删除过程类型 可能破坏系统完整性,创建恶意过程类型影响患者护理 绕过预定的订单管理访问控制 PoC(概念验证) 访问现有过程 - 使用低权限账户登录 - 发送GET请求至 新增过程 - 发送POST请求至 ,带指定参数 编辑或删除过程,方法与添加类似 修复措施 文件开头实施适当认证检查 增加CSRF保护 基于用户角色实施恰当访问控制 增加输入验证与数据净化 负责研究员 报告者: heshamm1