CVE-2026-6834aEnrich a+HRD系统中存在一处关键的权限缺失漏洞。该漏洞源于系统对特定API接口缺乏必要的授权验证机制。攻击者在经过低权限身份认证后,无需进一步交互即可利用此漏洞,通过构造特定的API请求,非法获取数据库中的敏感信息。此漏洞可能导致严重的数据泄露风险,影响系统机密性。
该漏洞属于典型的业务逻辑缺陷,具体表现为越权访问。在aEnrich a+HRD的实现中,某些用于查询数据库内容的API接口仅验证了请求者是否登录(认证),但未验证当前登录用户是否有权限访问请求的目标资源(授权)。根据CVSS 3.1向量(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N),攻击者可通过网络发起攻击,攻击复杂度低。攻击过程如下:首先,攻击者注册或获取一个普通用户账号;其次,利用该账号的Session或Token,向存在缺陷的API端点(例如涉及数据检索的接口)发送HTTP请求;最后,通过遍历参数(如ID、索引)或修改查询条件,服务器会直接返回数据库中的其他敏感记录,从而导致高机密性影响。