CVE-2026-5374runZero Platform存在安全漏洞,允许MCP代理在未经授权的情况下访问其组织范围之外的修复和资产信息。该漏洞源于不正确的授权检查(CWE-863),攻击者需具备高权限并利用网络攻击向量。成功利用可能导致敏感信息泄露,CVSS v3.1评分为5.8(中危)。该问题已在runZero Platform 4.0.260202.0版本中修复。
该漏洞的核心在于runZero平台对MCP(Model Context Protocol)代理的访问控制逻辑存在缺陷。系统在处理MCP代理发起的数据查询请求时,未能正确验证请求者是否有权访问特定组织范围内的资源。虽然CVSS向量要求高权限(PR:H),意味着攻击者通常需要拥有一个受损或合法的高权限账户,但一旦通过认证,系统未对请求目标资源的组织ID进行校验。由于存在范围改变(S:C),攻击者可以利用这一逻辑漏洞,通过修改API请求参数,跨越组织边界读取其他租户的资产清单及修复状态数据。这本质上属于水平越权漏洞,破坏了多租户环境下的数据隔离性。