关键信息 漏洞概述 漏洞名称: Insufficient authorization [1] 产品: FreeScout 版本: v1.8.173 and 1.8.174 CVE ID: CWE-863: Incorrect Authorization GHSA ID: GHSA-f62r-8354-8pqg CVSS v4.0: 6.9 (AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N) 影响范围 受影响版本: <1.8.179 修复版本: 1.8.179 漏洞描述 描述: 应用程序错误地检查用户访问权限,导致攻击者可以访问与其权限不匹配的信息或功能。 易受攻击的场景: 易受攻击的参数: 利用条件: 未经授权的用户 漏洞代码示例 缓解措施 实施用户特权检查以防止未授权访问。 用户不应直接通过应用页面访问任何功能或信息。 包含机密信息的页面不应被缓存。 每个页面应通过与具有必要权限的用户关联的会话认证令牌进行限制。 研究发现 研究人员在FreeScout中发现了零日漏洞。 在禁用邮箱通知时,代码中没有检查用户是否已对邮箱拥有访问权限。 如果用户没有邮箱访问权限,在禁用(启用)通知后,用户将获得访问权限。 研究人员 Artem Deikov, Ilya Tsaturov, Danill Satyaev, Roman Cheremnykh, Artem Danilov, Stanislav Gleyim (Positive Technologies)