漏洞概述 CVE编号: CVE-2026-11852 标题: Artifact relation permissions not enforced 描述: 该漏洞涉及在创建和删除工件关系时,仅检查了 权限。如果用户(匿名或已认证)能够看到工件,他们就可以创建工件之间的关系,以及删除对可见工件的关系。 影响范围 影响: 工件关系在多个工作流中被遍历,以定位要操作的工件。虽然其影响尚未深入分析,但可能被恶意行为者利用,导致在错误的工件上执行任务。 修复方案 修复状态: 已修复(合并) 修复分支: - (合并) - (合并) 其他信息 创建者: Stefano Rivera 创建时间: 3天前 标签: Security 里程碑: 2026-Q1 Maintenance (已过期) 参与者: 1人 活动记录 Stefano Rivera: - 3天前更改里程碑至 %2026-Q1 Maintenance - 3天前添加了 Security 标签 - 3天前关闭了问题 - 3天前在合并请求 !2836 中提及 - 3天前在合并请求 !3127 中提及 - 3天前更改里程碑至 %2026-Q1 Maintenance - 2天前将标题从 "Artifact relation permissions not enforced" 更改为 "CVE-2026-11852: Artifact relation permissions not enforced" 代码块 无POC代码或利用代码。