CVE-2026-42084OpenC3 COSMOS作为一套功能强大的嵌入式系统交互平台,旨在提供指令发送与数据接收的全面支持。然而,在其6.10.5和7.0.0-rc3版本之前的代码中存在一处严重的逻辑缺陷。该缺陷涉及密码更改功能,系统未强制要求用户提供旧密码进行身份验证,而是仅凭有效的会话令牌即可完成密码重置。这一机制在“假定攻陷”的安全模型下极具危险性。一旦攻击者设法获取了受害者的有效会话令牌,即便是在未掌握原始密码的情况下,也能利用该漏洞直接修改账户密码。这不仅帮助攻击者在系统中建立长期持久的后门访问权限,还能通过修改密码导致合法用户无法登录,从而完全控制包括管理员在内的关键账户。
该漏洞的核心技术原理在于身份验证流程的不完整实现。在标准的Web应用安全模型中,修改敏感信息(如密码)通常要求双重验证:一是当前会话的有效性,二是旧密码的正确性。OpenC3 COSMOS受影响版本的API端点在处理密码修改请求时,仅仅校验了HTTP请求中的会话令牌(Cookie或Header中的Token)是否有效,而完全忽略了对旧密码字段的验证。CVSS向量分析显示,攻击复杂度为低(AC:L),且无需用户交互(UI:N)。攻击者只需通过网络(AV:N)发起请求。利用方式通常分为两个阶段:首先是利用其他漏洞(如XSS、中间人攻击或会话固定)获取一个有效的会话令牌;其次是构造特定的HTTP POST请求,向密码修改接口提交新密码。由于系统缺乏对旧密码的校验,服务器会直接接受请求并更新数据库中的凭证。这使得攻击者能够将临时的会话劫持转化为永久的凭证控制,严重破坏了系统的机密性(C:H)和完整性(I:H)。