关键信息摘要 漏洞描述 漏洞类型: 破损的访问控制(Broken Access Control) 影响产品: Free-CRM 影响版本: 版本1.0及更早 CWE映射: CWE-862(缺失授权),CWE-602(客户端强制服务器端安全),CWE-269(不当的权限管理),CWE-284(不当的访问控制) 攻击条件 前提条件: - 拥有有效低权限用户 - 无需管理权限 - 能够中断或绕过客户端重定向 受影响的端点: - POST /api/Security/Login - GET /Users/UserList - GET /Roles/RoleList 漏洞细节 根本原因: - 应用程序在执行授权检查之前加载了特权管理资源 - 完全依赖客户端重定向进行保护 - 没有在服务器端验证授权 绕过重定向方法: - 使用浏览器的后退功能 - 通过调试工具中断JavaScript重定向 影响与分类 CVSS评分: 8.8(高危) 分类: - 损坏的访问控制 - 特权提升 - 缺失服务器端授权强制 披露时间线: - 2026-02-09: 漏洞发现并报告给厂商 - 至今: 无厂商回应或修复 参考资料 OWASP A01:2021 - Broken Access Control CWE-862 - Missing Authorization CWE-602 - Client-Side Enforcement of Server-Side Security 影响证明 该CRM和库存系统通过官方网店公开分发 GitHub公共储存库有超过220个星和六十几次分叉,显示活跃使用