CVE-2026-5380runZero Platform存在信息泄露漏洞,由于部分凭证类型和字段保护不足(CWE-522),允许授权用户查看明文机密信息。该漏洞CVSS评分为5.3,攻击者可利用此漏洞获取敏感凭证,影响系统机密性。建议用户尽快升级至安全版本。
该漏洞属于CWE-522(保护不足的凭证)范畴。在runZero Platform的特定版本中,后端API或前端渲染逻辑存在缺陷,导致在处理某些凭证类型(如数据库密码、API Token等)时,未对敏感字段进行脱敏处理或加密存储后解密失败而直接回显明文。尽管CVSS向量显示PR:N(无需权限)且UI:R(需用户交互),实际场景可能涉及诱导受害者访问特定链接或在特定页面进行操作。攻击者利用网络向量(AV:N)向目标发送恶意请求,由于攻击复杂度低(AC:H在向量中,但通常信息泄露逻辑较简单),一旦成功利用,攻击者即可获得高机密性影响(C:H),直接窃取用于集成其他系统的认证凭据。这不仅导致当前平台数据泄露,还可能危及关联系统的安全,造成连锁反应。因此,该漏洞的核心在于凭证生命周期管理中的安全控制失效。