🔴 严重 | CVE-2026-12686 — An authenticated user could manipulate a company I...
🔴 《严重安全漏洞:CVE-2026-12686》
CVSS 评分: 严重(9.3) 状态: Received 发布时间: 2026-07-06
漏洞简介
CVE-2026-12686 是一个存在于 ADISSS BiLoop 应用中的跨租户授权绕过(cross-tenant authorisation bypass)漏洞,归属于 CWE-639(通过用户控制的键值绕过授权机制)。该漏洞的核心问题在于:已认证(authenticated)用户 可以通过在 POST 请求中操控一个公司 ID 参数,从而获得对同一子域名环境下其他公司数据的未授权访问。
具体来说,应用程序在处理请求时,未能充分验证所请求的公司 ID 是否确实属于当前已认证用户的会话(session)。这意味着攻击者只需修改 POST 请求中的公司 ID 参数值,即可绕过租户隔离(tenant isolation)机制,访问本不属于其权限范围内的其他公司数据。
影响范围
根据披露信息,该漏洞影响 ADISSS BiLoop 应用。目前公开的参考链接中未明确列出具体的受影响版本号,但建议所有使用该应用的机构立即关注官方安全公告,并检查自身部署环境是否处于受影响版本范围内。
风险分析
- 攻击条件:攻击者需要拥有一个有效的用户认证凭据(即已登录系统),但无需高权限(CVSS 4.0 评分中权限要求为低(PR:L))。攻击可通过网络远程发起(AV:N),且无需特殊交互(UI:N),利用复杂度低(AC:L)。
- 攻击后果:
- 敏感信息泄露:成功利用该漏洞后,攻击者可以访问其他公司的敏感客户信息,包括但不限于账单数据(billing data)。
- 数据篡改:漏洞还可能导致攻击者未授权修改第三方数据,造成数据完整性破坏。
- 横向渗透风险:由于漏洞存在于同一子域名环境内,攻击者可能通过获取一个租户的访问权限,逐步探测并控制更多租户的资源,扩大攻击面。
- CVSS 评分:根据 CVSS 4.0 向量(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:N),该漏洞的机密性(VC:H)和完整性(VI:H)影响均为高,且波及范围包括机密性(SC:H)和完整性(SI:H)的次级系统,整体风险等级极高。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-12686 |
| CVSS 评分 | 9.3 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
| CWE 分类 | CWE-639 |
| 发布时间 | 2026-07-06 |
| 最后更新 | 2026-07-06 |
| 状态 | Received |
| 数据来源 | cve-coordination@incibe.es |
🔗 参考链接
💬 评论