CVE-2026-48245 CVSS 5.3 中危

CVE-2026-48245 Open ISES Tickets硬编码API密钥漏洞

披露日期: 2026-05-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-48245

漏洞类型

硬编码凭证

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Open ISES Tickets

漏洞概述

Open ISES Tickets在3.44.2版本之前存在安全漏洞，其在tables.php文件中硬编码了Google Maps API密钥并提交至公共代码仓库。任何拥有源码读取权限的人员均可提取该密钥。攻击者可利用该密钥调用Google Maps Platform服务，导致相关费用由原始所有者的Google Cloud项目承担，造成财务损失。

技术细节

该漏洞源于开发人员在开发过程中未遵循安全编码规范，将敏感的第三方服务凭证直接硬编码在`tables.php`源代码文件中。由于该文件被提交到了公共Git仓库，攻击者无需任何权限认证即可通过克隆仓库或浏览代码获取该API密钥。攻击者利用获取到的密钥，可以构造合法的HTTP请求向Google Maps API发送调用指令。这种利用方式不仅隐蔽，而且直接导致受害者的云资源被滥用，产生高额账单。此外，泄露的API密钥往往拥有较高的权限，可能进一步危及关联的账户安全。

攻击链分析

STEP 1

信息收集

攻击者访问Open ISES Tickets的公共源代码仓库，获取包含tables.php的源代码。

STEP 2

密钥提取

通过文本搜索或代码审计，在tables.php文件中定位并提取硬编码的Google Maps API密钥。

STEP 3

未授权使用

攻击者将提取到的API密钥配置在自己的应用程序中，向Google Maps Platform发起合法的API请求。

STEP 4

造成影响

Google Cloud根据API密钥将产生的费用计入原始所有者账户，导致受害者遭受经济损失。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
PoC for CVE-2026-48245: Hardcoded API Key Extraction
This script simulates searching for the Google Maps API key in the source code.
"""
import re
import os

def scan_for_api_key(file_path):
    """
    Scans the file for a Google Maps API key pattern.
    Google Maps API keys usually start with 'AIza'.
    """
    pattern = r'AIza[A-Za-z0-9\-_]{35}'
    try:
        with open(file_path, 'r', encoding='utf-8') as f:
            content = f.read()
            matches = re.findall(pattern, content)
            return matches
    except FileNotFoundError:
        return []

# Simulating the vulnerable file location
vulnerable_file = 'tables.php'

if os.path.exists(vulnerable_file):
    keys = scan_for_api_key(vulnerable_file)
    if keys:
        print(f"[+] Found {len(keys)} potential API key(s) in {vulnerable_file}:")
        for key in keys:
            print(f"    - {key}")
    else:
        print(f"[-] No API keys found in {vulnerable_file}")
else:
    print(f"[!] File {vulnerable_file} not found. This PoC requires the vulnerable source code.")

影响范围

Open ISES Tickets < 3.44.2

防御指南

临时缓解措施

建议立即撤销泄露的Google Maps API密钥以停止计费。如果无法立即升级，请从源代码中手动移除硬编码的密钥，并通过环境变量重新注入后重新部署应用。同时，应检查Google Cloud的计费报告，排查是否存在异常的API调用记录。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表