CVE-2026-39852Quarkus框架存在授权绕过漏洞。由于安全层与路由层对URL路径的规范化处理不一致,具体表现为安全层保留分号参数而路由层将其剥离。攻击者可利用此差异,在受保护路径后追加分号及任意内容(如`;test`),从而绕过基于路径的访问控制策略,访问敏感端点。该漏洞影响多个版本,建议尽快升级。
该漏洞源于Quarkus安全层与底层RESTEasy Reactive路由层在处理URL矩阵参数时的不一致性。Quarkus的安全拦截器在执行权限检查时,基于未经完整规范化的原始URL路径,该路径保留了分号及其后的内容(即矩阵参数)。然而,底层的RESTEasy Reactive路由器在将请求映射到具体的REST端点之前,会自动剥离这些矩阵参数。攻击者利用这一差异,只需向受保护的资源路径(如`/api/admin`)追加分号和任意字符串(例如`/api/admin;matrix_param`),即可导致安全层认为请求的目标路径发生了变化,从而不匹配针对`/api/admin`的严格拦截规则。虽然安全检查被绕过,但路由层将请求解析为`/api/admin`并成功路由至受保护的控制器,最终实现了未经授权的敏感操作访问。