关键漏洞信息 漏洞类型 类型: CORS Misconfiguration (Improper Access Control) 影响范围 受影响组件: Appwrite Cloud Project ID: 6981d34b0036b9515a07 受影响版本: All versions (current main branch) CVE ID: CVE-2026-27579 严重程度 CVSS v3 base metrics - Severity: High (7.4/10) - Attack vector: Network - Attack complexity: Low - Privileges: None 描述 总结: 应用程序使用的Appwrite项目配置错误,允许CORS响应中的任意来源,同时也允许证书请求。 影响: 攻击者可以通过控制的域发送身份验证的跨源请求并读取敏感的用户账户信息,如电子邮件地址、账户标识符和MFA状态。 技术细节 受影响的端点: 响应头: - - 响应体: 包含认证账户数据 影响 攻击者可以捕获访问恶意网站的登录用户的账户信息。 概念验证 (PoC) 提供了浏览器漏洞利用的HTML和JavaScript代码,演示了如何泄露登录用户的账户信息。 根源 Appwrite项目配置为反射任意来源,并允许跨源的证书请求,违反了CORS安全最佳实践。 推荐修复 在Appwrite控制台中限制允许的网络来源,移除通配符或过于广泛的条目。 不允许动态来源反射和不允许多任务起源的证书。 安全影响解释 正常情况下,恶意网站无法读取来自其他域的敏感API响应,但由于此漏洞,攻击者可以进行跨站身份验证数据窃取、账户信息收集等。 高风险原因 不需要用户交互、没有身份验证绕过需要、远程攻击、攻击无需特殊特权。