关键信息概括 CVE编号: CVE-2025-69752 漏洞类型: 不安全的直接对象引用 (Insecure Direct Object Reference) 产品和版本: - 厂商: Ideagen - 产品: Q-Pulse QMS (Quality Management System) - 测试版本: 7.1.0.32 - 受影响版本: 7.1.0.32 (其他未测试版本也可能受影响) 漏洞描述: - 详情: 由于没有在服务器端对 参数执行有效的授权检查,导致低权限用户可以访问其他用户信息。 - 影响: 认证用户可以访问未授权的用户详细信息,如全名、工作电子邮件地址、职位和部门等。 严重性: - CVSS 3.1评分: 4.3, 评级: Medium, 向量: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N - CVSS 4.0评分: 5.3, 评级: Medium, 向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 受影响组件: "My Details" 用户配置页内的 HTTP 参数 复现步骤: 包括登录、导航特定页、修改URL参数等 风险影响: 允许攻击者访问用户详细信息,为社会工程学、钓鱼攻击提供便利 缓解措施: - 服务器端强制授权检查 - 使用不可预测的标识符代替顺序ID - 最小权限原则 厂商响应: 尚无补丁发布,厂商未回复披露尝试 相关引用: CVE、CWE等标准链接指向详细信息