CVE-2026-39664Leadrebel软件在1.0.2及之前版本中存在严重的缺失授权漏洞(CVE-2026-39664)。该问题源于系统未能正确配置访问控制安全级别,导致未经身份验证的攻击者可以利用此漏洞绕过安全限制。该漏洞CVSS评分为5.3,属于中危级别。攻击者无需用户交互即可通过网络发起攻击。尽管该漏洞主要影响系统可用性,但未授权的访问可能导致服务中断或敏感操作被非法执行。
该漏洞的核心技术问题在于Leadrebel应用程序在处理特定业务逻辑时,缺少对调用者身份的必要校验,即CWE-862缺失授权漏洞。在受影响的版本(<= 1.0.2)中,某些用于管理或数据修改的接口未受到适当的访问控制列表(ACL)或基于角色的访问控制(RBAC)保护。攻击者可以通过分析网络流量或代码逻辑,定位到这些未受保护的API端点。利用过程非常简单,攻击者只需向目标服务器发送特制的HTTP请求(通常是POST或GET请求),并在请求参数中包含特定的操作指令,即可在未提供有效凭证(如Session ID或API Token)的情况下触发后端功能。由于CVSS向量显示S:U(范围不变),攻击行为仅限于当前组件。攻击者利用该漏洞可能导致系统资源被恶意占用,从而影响服务的可用性(A:L)。