CVE-2026-38533 漏洞总结 漏洞概述 漏洞编号:CVE-2026-38533 漏洞类型:不当授权 / 权限提升 (Improper Authorization / Privilege Escalation) 受影响产品:Snipe-IT (版本 8.4.0) 漏洞描述:Snipe-IT 存在不当授权漏洞。持有 权限的低权限用户,可以通过 API 端点修改其他非管理员用户的敏感认证和账户状态字段。攻击者可以在不知道当前密码的情况下重置其他用户的密码,或停用用户账户,导致未授权接管账户和服务拒绝。 CVSS 评分:High (高危) 影响范围 受影响版本:Snipe-IT 8.4.0 受影响组件: 受影响文件: 影响后果: 机密性:高(攻击者可作为受害者登录) 完整性:高(攻击者可覆盖其他用户密码和账户状态) 可用性:高(攻击者可停用受害者账户) 技术分析与利用代码 漏洞根源在于 门控逻辑。该逻辑仅检查调用者和目标是否非管理员,但未验证调用者 ID 是否等于目标 ID,导致非管理员用户可修改任意非管理员用户的敏感字段。 存在缺陷的逻辑代码: 利用路径: 1. 密码重置: 字段被写入新的 bcrypt 哈希,无需受害者当前密码。 2. 账户停用:设置 会导致 拒绝所有未来的认证尝试。 修复方案 1. 自我编辑限制:修改 逻辑,强制要求 (仅允许用户修改自己的密码,管理员除外)。 2. 当前密码验证:当非管理员用户修改自己的密码时,要求提供并验证当前密码。 3. 角色分离:引入单独的 权限,专门用于修改密码和激活状态,与普通用户资料编辑分离。 4. API 速率限制:限制对 的 PUT 请求速率,防止自动化批量攻击。 5. 审计日志**:记录所有密码更改和账户停用事件(包含 Actor ID、目标 ID、IP 地址和时间戳),以便监控异常模式。