漏洞概述 漏洞编号:CVE-2026-14614 产品:Security Response 组件:vulnerability 状态:NEW 优先级:medium 严重程度:medium 报告日期:2026-07-03 15:13 UTC by OSIDB Bzimport 修改日期:2026-07-03 15:24 UTC 影响范围 硬件:All 操作系统:Linux 目标里程碑:--- 分配给:Product Security 修复方案 修复版本:未指定 克隆自:--- 环境:--- 最后关闭:--- Embargoed:--- 详细描述 漏洞类型:Write-path authorization bypass vulnerability 漏洞描述:在 和相关端点中,当 设置为 true(FGAP v2)时,存在写路径授权绕过漏洞。该漏洞源于权限验证不足:代码仅验证调用者是否对目标客户端具有管理权限,但未检查调用者是否有任何权限(如查看或映射)在附加的客户端范围内。 攻击场景:具有委托管理员角色( 和 )的攻击者可以通过发现“隐藏”客户端范围(他们通常无法访问)的 UUID 来利用此漏洞。通过调用客户端范围分配端点,攻击者可以成功将这些隐藏范围链接到他们的受管客户端。 具体影响: - 未授权声明注入:攻击者可以从受限客户端范围向最终用户访问令牌注入声明。 - 数据暴露:如果隐藏范围包含敏感硬编码声明或映射器,这些将对最终用户和依赖应用程序暴露。 其他信息 关键词:Security 别名:CVE-2026-14614 CC 列表:29 users (show) 依赖项:depends on / blocked 附件 描述:2026-07-03 15:13:23 UTC by OSIDB Bzimport 备注 需要登录才能在此漏洞上发表评论或进行更改。