CVE-2026-5373runZero Platform存在权限管理不当漏洞(CVE-2026-5373),允许组织管理员将账户提升为超级用户状态。该漏洞CVSS评分8.1,属于高危漏洞。攻击者需具备高权限并进行用户交互,利用此漏洞可获取系统最高控制权,影响数据的机密性和完整性。官方已在4.0.260202.0版本中修复该问题。
该漏洞属于CWE-269权限管理不当。在受影响版本的runZero Platform中,系统对“组织管理员”角色的权限控制逻辑存在缺陷。正常情况下,组织管理员不应具备将账户提升为“超级用户”的权限。然而,由于后端验证不足,攻击者一旦拥有组织管理员凭据(PR:H),可以通过构造特定的API请求或利用界面交互(UI:R),绕过权限检查。成功利用后,攻击者可将自身账户提升为超级用户,从而获得对整个平台的完全控制权,包括读取敏感数据(C:H)和篡改关键配置(I:H)。由于攻击向量为网络(AV:N),该漏洞可被远程利用。