漏洞总结:Kiuwan WebUI (SSO) 锁定账户执行不当 漏洞概述 漏洞名称:Improper Enforcement of Locked Accounts in WebUI (SSO) CVE编号:CVE-2026-24069 漏洞描述:Kiuwan 支持通过 Microsoft ADFS 或 Azure 等启用单点登录 (SSO)。在配置角色和访问权限时,系统会将 AD 用户账户映射到本地账户。 问题核心:当管理员在 Kiuwan 用户设置中禁用了某个用户账户(例如禁用本地登录且未设置密码,仅允许 SSO 登录)后,该用户仍然可以通过 SSO 成功登录 Kiuwan WebUI。系统未能正确验证账户的禁用状态,导致授权检查失效。 影响范围 受影响版本:2.8.2412.0(测试时的最新版本) 影响组件:Kiuwan WebUI (SSO) 影响后果:被管理员禁用的账户仍可访问系统,存在未授权访问风险。 修复方案 厂商响应: Kiuwan Cloud:已于 2025 年 7 月 29 日通过最新版本修复。 Kiuwan On-Premises:提供了补丁版本 2.8.2509.4。 补丁下载**: 可通过厂商安装页面下载补丁: 概念验证 (PoC) 页面中未提供具体的代码块,但提供了复现步骤: 1. 在 Kiuwan 用户设置中禁用用户。 2. 通过 SSO(例如 Microsoft ADFS)进行身份验证。 3. 成功登录 Kiuwan WebUI。