多个漏洞在 Gaudire 的刺客游戏中 漏洞概述 发布日期: 2026年6月22日 标识符: INCIBE-2026-448 重要性: 5 - 关键 描述: INCIBE协调发布了3个漏洞,其中2个严重,1个中等,影响由Gaudire开发的刺客游戏。这些漏洞由Adrián Borilla Martín发现。 漏洞代码: - CVE-2026-7165: CVSS v4.0: 9.4 - CVE-2026-7166: CVSS v4.0: 9.2 - CVE-2026-7167: CVSS v4.0: 6.9 影响范围 受影响资源: 刺客游戏,最新版本。 修复方案 目前没有报告解决方案。 详细信息 CVE-2026-7165: 漏洞存在于“jugador”端点: - “keyjugador”和“keyjugadorObject”参数允许修改其他用户的信息,而无需先进行授权验证。这可能会使攻击者能够更改其他用户的信息。 - “punts”和“humObjectiusEliminats”字段允许添加任意数据,因为用户输入未正确验证。这可能会使攻击者获得本应由市政当局颁发的奖品,通过伪造游戏分数。 - 在令牌字段中,管理员特权可以在没有服务器验证或先验授权的情况下被自我分配。此漏洞可能允许未授权的管理员访问。