CVE-2026-23844Whisper Money是一款个人财务管理应用程序。该应用在0.1.5版本之前存在不安全直接对象引用(Insecure Direct Object Reference, IDOR)漏洞。由于应用程序对用户输入的验证不充分,攻击者可以通过修改请求中的参数值,访问或操作用户所属的其他银行账户数据。具体而言,低权限认证用户能够更新或创建其他用户银行账户的余额信息。此漏洞允许未经授权的账户余额修改,可能导致财务数据完整性受损,造成经济损失或欺诈行为。攻击者利用此漏洞无需特殊权限或用户交互,仅需发送特制HTTP请求即可触发。CVSS 3.1评分4.3分(中危),攻击向量为网络,复杂度低,需低权限认证,无用户交互要求。
IDOR漏洞属于访问控制缺陷的一种,发生在应用程序使用用户提供的输入直接访问对象而未进行充分授权验证时。在Whisper Money应用中,账户余额更新或创建功能可能直接使用客户端传来的账户ID参数,而未验证该账户是否属于当前认证用户。攻击者可通过拦截HTTP请求,修改account_id或balance等参数值为目标用户的账户标识,从而实现跨用户账户操作。典型利用方式:攻击者登录自己的账户,抓取账户操作请求,将account_id替换为受害者的账户ID,修改balance参数值后发送请求。服务端因缺少所有权验证,会执行该操作并更新目标账户余额。此类漏洞常见于API端点未实施对象级权限检查的RESTful服务中。修复方案是在所有涉及敏感对象操作的接口中增加服务端授权验证,确保用户只能访问和操作属于自己的资源。