CVE-2026-41657Admidio是一款开源的用户管理解决方案。在5.0.9版本之前,其contacts_data.php端点存在权限校验逻辑缺陷。该接口仅使用了较弱的权限检查函数,而前端UI则使用了更严格的检查。这导致具有特定用户管理权限但非完整管理员权限的攻击者,能够通过直接构造特定请求,获取系统中所有组织的用户记录。该漏洞破坏了多租户环境下的组织隔离机制,造成敏感信息泄露。官方已在5.0.9版本中修复了此问题。
该漏洞的核心在于Admidio后端不同接口间权限校验的不一致性。前端页面contacts.php正确调用了isAdministrator()函数,要求用户必须拥有rol_administrator=true权限以及contacts_show_all系统设置权限。然而,后端数据接口contacts_data.php仅调用了isAdministratorUsers()函数,这仅要求用户具备rol_edit_user=true权限。这种差异使得拥有“用户管理”角色但非“超级管理员”的恶意用户,能够绕过前端界面的限制。攻击者只需向contacts_data.php发送一个包含mem_show_filter=3参数的HTTP GET或POST请求,即可触发数据库查询,从而检索并导出整个Admidio实例中跨所有组织的用户数据。这属于典型的越权访问漏洞(IDOR/Broken Access Control),利用了服务器端对敏感数据接口的访问控制缺失。