CVE-2026-43886 Outline OAuth Scope验证逻辑错误导致权限提升漏洞

漏洞信息

漏洞编号

CVE-2026-43886

漏洞类型

权限提升

CVSS评分

8.2 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Outline

漏洞概述

Outline是一款用于协作文档的服务。在0.84.0至1.6.1版本中，存在一个严重的逻辑漏洞。该漏洞源于OAuthInterface.validateScope()方法在验证OAuth范围时使用了错误的逻辑。具体来说，代码使用了Array.some()函数进行校验，导致只要请求的scope数组中存在任意一个合法的scope，系统就会默认接受整个scope数组，而不会拒绝非法的scope请求。攻击者可以利用这一缺陷，通过在请求中构造包含通配符`*`的scope（例如`scope=read *`），成功绕过验证机制。这使得攻击者能够将一个原本只读的OAuth令牌升级为拥有完全不受限的API访问权限。利用该漏洞，攻击者可以执行写入、删除以及管理员等高危操作，对系统安全造成严重威胁。

技术细节

该漏洞的核心在于Outline的OAuth接口实现中存在一个逻辑缺陷，具体位于`OAuthInterface.validateScope()`函数。该函数的设计初衷是验证客户端请求的OAuth权限范围是否均已被授权。然而，开发者错误地使用了JavaScript的`Array.some()`方法来遍历和校验scope数组。

`Array.some()`的语义是“只要数组中至少有一个元素满足条件，即返回true”。在正常的OAuth流程中，如果用户只授权了`read`权限，而应用请求了`read, delete`，验证逻辑应当检查请求中的每一项是否都在允许列表中。但由于使用了`Array.some()`，当应用请求`['read', '*', 'admin']`时，系统检测到`read`是合法的，便直接返回验证通过，忽略了`*`和`admin`这两个非法或未授权的高危scope。

攻击者利用这一逻辑漏洞，可以通过精心构造的OAuth授权请求，将通配符`*`注入到scope参数中。在OAuth标准中，`*`通常代表所有权限。一旦该请求通过验证，服务器颁发的令牌将携带`*` scope。此后，攻击者利用该令牌调用API时，服务端会将该令牌视为拥有超级管理员权限，从而允许执行包括文档修改、删除、用户管理在内的所有敏感操作。这是一个典型的权限提升漏洞，CVSS 3.1评分为8.2，属于高危漏洞。

攻击链分析

STEP 1

侦察

攻击者识别目标系统运行的是Outline，且版本位于受影响范围内（0.84.0 到 1.6.1）。

STEP 2

构造恶意请求

攻击者准备OAuth授权请求，在scope参数中混入通配符`*`和一个已知合法的scope（如`read`），构造格式为`scope=read *`。

STEP 3

触发漏洞

攻击者向Outline的OAuth端点发送请求。由于`validateScope`使用`Array.some()`，系统检测到`read`合法后即通过验证，未剔除`*`。

STEP 4

权限提升

服务器颁发包含`*` scope的访问令牌给攻击者。

STEP 5

利用

攻击者使用该令牌调用API，利用`*`所代表的完全权限执行写入、删除或管理操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Conceptual Proof of Concept for CVE-2026-43886
// This script demonstrates the logic flaw in OAuthInterface.validateScope()

// 1. Simulate the vulnerable validation logic
const vulnerableValidateScope = (requestedScopes, allowedScopes) => {
  // BUG: The use of .some() allows the entire array to pass if ONE element is valid
  return requestedScopes.some(scope => allowedScopes.includes(scope));
};

// 2. Configuration
const allowedScopes = ['read']; // Assume user only authorized 'read'

// 3. Attack Vector: Smuggling the wildcard '*' by pairing it with a valid scope
const maliciousPayload = ['read', '*']; 

// 4. Execution
const isAuthorized = vulnerableValidateScope(maliciousPayload, allowedScopes);

if (isAuthorized) {
  console.log("[+] Vulnerability Triggered!");
  console.log("[+] Server accepted the payload:", maliciousPayload);
  console.log("[+] Attacker now has full access via the '*' scope.");
  
  // Real-world exploitation would involve sending a request like:
  // GET /oauth/authorize?client_id=...&response_type=code&scope=read%20*&redirect_uri=...
} else {
  console.log("[-] Request rejected.");
}

影响范围

Outline 0.84.0

Outline 0.84.1

Outline 0.85.0

Outline 0.86.0

Outline 0.87.0

Outline 0.88.0

Outline 0.89.0

Outline 0.90.0

Outline 0.91.0

Outline 0.92.0

Outline 0.93.0

Outline 0.94.0

Outline 0.95.0

Outline 0.96.0

Outline 0.97.0

Outline 0.98.0

Outline 0.99.0

Outline 1.0.0

Outline 1.1.0

Outline 1.2.0

Outline 1.3.0

Outline 1.4.0

Outline 1.5.0

Outline 1.6.0

Outline 1.6.1

防御指南

临时缓解措施

如果无法立即升级，建议在应用层代理或WAF中配置规则，严格过滤并拒绝任何包含通配符（如`*`）或未明确授权字符的scope参数请求。同时，应监控日志中是否存在异常的OAuth授权成功记录，特别是包含高权限scope的请求。