漏洞总结 漏洞概述 漏洞名称:User Preferences API allows standard users to modify restricted attributes: hourly_rate, internal_rate 漏洞类型:Mass Assignment / Broken Object Property Level Authorization (BOPA) CVE ID:CVE-2026-40486 CVSS 评分:4.3 / 10 攻击向量:Network 攻击复杂度:Low 所需权限:Low 用户交互:None 影响范围:Confidentiality: Low, Integrity: Low, Availability: None CWE ID:CWE-915 影响范围 受影响版本: 修复版本: 影响描述:标准用户(无特殊权限)可通过 User Preferences API 任意修改其个人资料中的受限财务属性( 和 ),导致未经授权的业务逻辑变量篡改,可能引发欺诈性发票、扭曲的时间表导出和未经授权的资金篡改。 修复方案 升级到版本 或更高版本。 POC 代码