🔐 CVE-2026-23478 — Critical Authentication Bypass
严重等级: 🔴 严重 CVSS v4: 10.0 / 10 发布日期: 2026年1月13日
🎯 受影响软件
- 产品: Cal.com (开源日程安排平台)
- 受影响版本:
3.1.6 → 6.0.6 - 已修复版本: ✅
6.0.7+
🧩 根本原因
问题源于 NextAuth JWT 回调函数中不恰当的服务器端验证。
问题出在哪里?
- 后端 过于信任客户端提供的数据
- 特别是在
session.update()过程中 - 攻击者可以提交 任意电子邮件地址
- 服务器将其视为合法数据而接受
🛑 这违反了基本的身份验证和授权边界。
💥 影响
未经身份验证的攻击者能够:
- 👤 以 任意用户 身份登录
- 📅 查看和修改私人日程安排
- ❌ 取消或创建预订
- 🔗 滥用已连接的集成功能
- 🧠 作为跳板获取更深层的系统访问权限
无需凭证、无需用户交互、即可实现完全账户接管。
🧨 攻击特征
| 因素 | 值 |
|---|---|
| 攻击途径 | 网络 |
| 所需权限 | 无 |
| 用户交互 | 无 |
| 利用复杂度 | 低 |
| 影响 | 完全的账户被接管 |
🧷 漏洞分类
- CWE-602: 客户端强制执行服务器端安全策略
- CWE-639: 通过用户控制的键进行授权绕过
🛠️ 缓解措施 (立即执行)
✅ 立即行动
- 将 Cal.com 升级至
v6.0.7或更高版本 - 轮换会话令牌和身份验证密钥
- 审计日志 以查找可疑的会话更新
- 检查自定义的 NextAuth 逻辑
- 切勿信任客户端提供的身份字段
- 执行严格的服务器端检查
🧯 安全启示
日程安排系统即是身份系统。 请像对待身份验证提供商一样,对它们施以同等级别的安全严谨性。 6HFtX5dABrKlqXeO5PUv/ydjQZDJ7Ct83xG1NG8fcAM8/NCQyWk6xPKfDLeRJ7kh
