漏洞概述 漏洞编号: Bug 2487070 (CVE-2026-53471) 漏洞标题: migration-planner: Agent API ignores JWT source_id Claim 状态: NEW 产品: Security Response 组件: vulnerability 优先级: high 严重程度: high 操作系统: Linux 报告日期: 2026-06-09 17:49 UTC 修改日期: 2026-06-10 13:53 UTC 影响范围 描述: 每个agent OVA携带一个JWT,其中包含一个source_id声明,标识它应该管理的单个源。Agent API中间件验证JWT签名并在上下文中存储声明,但UpdateSourceInventory和UpdateAgentStatus处理程序从不验证这些声明。它们信任来自URL路径/请求体的source ID。辅助函数auth.AgentFromContext / MustHaveAgent存在,但调用次数为零。 安全影响: 代理表面上的完全租户隔离崩溃。任何有效的agent令牌都会授予对每个租户源的写权限。攻击者可以覆盖受害者清单、植入恶意credentialUrl或损坏迁移评估。 利用方式: 与#903一起,用于从任何Hybrid Cloud Console登录进行完整的跨租户写入。 修复方案 修复建议: 在两个处理程序中读取auth.MustHaveAgent(ctx).SourceID,并在不匹配目标源时返回403。生成的服务器代码中已存在403响应类型。参见patches/fix02.patch。 代码块