CVE-2026-38530 漏洞总结 漏洞概述 漏洞名称: Krayin CRM Broken Object-Level Authorization (BOLA) CVE ID: CVE-2026-38530 漏洞类型: 越权访问 (Broken Object-Level Authorization / BOLA / IDOR) CVSS 评分: 8.1 (High) 受影响产品: Krayin CRM (版本 2.2.x) 漏洞成因: 在处理请求时,仅验证了用户是否登录,但未验证当前用户是否为请求的 Lead 对象的拥有者。攻击者可通过构造任意 参数读取、修改或删除其他用户的 Lead 数据。 影响范围 机密性 (Confidentiality): 高。任何已认证用户均可读取其他用户的 Lead 记录(包括联系人信息、交易价值和销售管道数据)。 完整性 (Integrity): 高。任何已认证用户均可修改或删除其他用户的 Lead 记录。 可用性 (Availability): 无。 业务影响: 导致竞争情报泄露、销售记录被毁、未经授权的修改等。 修复方案 1. 对象级授权 (Object-level authorization): 在处理任何 GET/PUT/DELETE 请求前,验证 或确认用户拥有该 Lead 的显式共享/委托权限。 2. 策略类 (Policy classes): 实现 Laravel Policy 类 ( ),并在其中编写 , , 和 方法来强制实施所有权检查。 3. 审计日志 (Audit logging): 记录所有跨用户的 Lead 访问尝试。 技术分析与 POC 受影响文件: 漏洞代码逻辑: 利用方式: 攻击者通过构造以下请求,利用任意 进行越权操作: — 查看 Lead 详情 — 更新 Lead 数据 — 删除 Lead