🔴 《严重安全漏洞:CVE-2026-59151》

CVSS 评分: 严重(9.6)  状态: Undergoing Analysis  发布时间: 2026-07-10


漏洞简介

CVE-2026-59151 是 Prowler 云安全平台中的一个安全漏洞,属于 认证绕过(Authentication Bypass) 类别,对应 CWE-287(不正确的认证)。该漏洞存在于 Prowler 的 SAML 单点登录(SSO)认证流程中。

具体问题出在 SAML 认证流程的两个环节:

  1. 信任域判断缺陷:Prowler 在处理 SAMLResponse 时,错误地信任了 SAML 断言中声明的电子邮件域名(email domain),并基于该域名决定最终令牌(token)应归属于哪个租户(tenant)。
  2. ACS 完成逻辑缺陷:在 api/src/backend/api/v1/views.py 中的 ACS(Assertion Consumer Service)完成逻辑中,系统从用户电子邮件地址(user.email)重新计算租户归属,而不是将令牌签发与已验证的 SAML 配置绑定。

攻击者如果拥有一个可控的 SAML 身份提供者(IdP),可以完成一个针对攻击者控制域名的有效 SAML 流程,同时在 SAML 断言中声明一个来自其他已配置域名的电子邮件地址。这会导致系统签发一个错误的 SAMLToken 和租户作用域的 JWT(JSON Web Token),从而造成 跨租户账户接管(cross-tenant account takeover)

该漏洞已在 Prowler 5.30.3 版本中修复。

影响范围

  • 受影响软件:Prowler 云安全平台
  • 受影响版本:5.30.3 之前的所有版本
  • 修复版本:5.30.3
  • 相关提交
    • bf3b5c2ba713e533014927141b64948c82c8f32e
    • f5ff30ad175bd2edf02cd28872653c1cda5867b7
  • 安全公告:GHSA-h8m9-jgf8-vwvp

风险分析

CVSS 评分:CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
基础分:9.6(严重)

攻击向量分析

指标 说明
攻击向量(AV) 网络(N) 攻击者可通过网络远程利用
攻击复杂度(AC) 低(L) 无需特殊条件,利用难度低
权限要求(PR) 低(L) 攻击者需要拥有一个受控的 SAML IdP 账户
用户交互(UI) 无(N) 无需受害者交互
影响范围(S) 已变更(C) 漏洞影响跨租户,超出原始安全边界
机密性影响(C) 高(H) 可访问目标租户的敏感数据
完整性影响(I) 高(H) 可篡改目标租户的数据
可用性影响(A) 无(N) 不影响系统可用性

攻击后果

  1. 跨租户账户接管:攻击者可以利用此漏洞,通过控制自己的 SAML IdP,获取其他租户的访问令牌,从而完全接管目标租户的账户。
  2. 数据泄露:成功接管后,攻击者可以访问目标租户在 Prowler 平台中的所有云安全扫描结果、配置信息、凭证等敏感数据。
  3. 权限提升:攻击者可以从低权限用户(拥有受控 IdP 账户)提升到目标租户的管理员权限,进一步扩大攻击范围。
  4. 横向移动:由于漏洞影响范围标记为“已变更(Changed)”,攻击者可能利用此漏洞在多个租户之间横向移动,造成连锁影响。

缓解措施

  • 立即升级到 Prowler 5.30.3 或更高版本。
  • 在升级前,审查并限制 SAML 身份提供者的信任配置,确保只有经过验证的域名和 IdP 组合才能完成认证。
  • 监控异常 SAML 认证日志,特别是跨域名的断言请求。

🔍 技术细节

字段
CVE ID CVE-2026-59151
CVSS 评分 9.6 🔴
严重程度 严重
CVSS 向量 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
CWE 分类 CWE-287
发布时间 2026-07-10
最后更新 2026-07-10
状态 Undergoing Analysis
数据来源 security-advisories@github.com

🔗 参考链接