Ash框架授权绕过漏洞:禁止请求下before_transaction钩子仍会执行

张开发
2026/4/20 4:59:57 15 分钟阅读

最新文章

推荐文章

相关文章

分享文章

Ash框架授权绕过漏洞:禁止请求下before_transaction钩子仍会执行
CVE-2025-48042Ash框架授权绕过漏洞描述概要某些批量操作调用当包含before_transaction钩子但没有after_transaction钩子时在以批量操作方式调用时会在授权检查之前执行before_transaction钩子然后返回Forbidden错误。影响恶意用户即使未被授权执行完整操作也可能导致before_transaction钩子运行。该before_action可能执行敏感或昂贵的操作。影响范围如果您的create、update或destroy操作满足以下条件则受影响操作上包含before_transaction钩子且没有after_transaction钩子该操作通过Ash.bulk_*回调使用AshJsonApi 和 AshGraphql 对 update/destroy 操作正是这样使用的影响程度取决于这些before_transaction回调的性质——它们是否具有副作用或者只是执行某些操作如查询外部数据以及您的 API 端点是否经过身份验证及何种身份验证方式。严重性该漏洞的严重性难以评估。before_transaction钩子并不常用。此外攻击者必须知道哪些操作可供利用经过身份验证才能发起此类请求即极少数情况会有策略阻止匿名查询执行因此需要权限和内部知识。另外该操作始终返回Forbidden错误因此不会泄露任何信息。我们将在未来几天根据情况评估并调整严重性等级。目前标记为高危因为我们不清楚用户在其before_transaction钩子中放置了什么逻辑理论上可能造成严重后果。临时解决方案您应尽快更新。如果因故无法更新可以在这些before_transaction钩子中添加逻辑阻止其在不应执行时执行其逻辑。参考资料GHSA-jj4j-x5ww-cwh9https://nvd.nist.gov/vuln/detail/CVE-2025-48042ash-project/ash5d1b6a5漏洞指标指标分值/说明CVSS v4 基础分7.1 / 10 (高危)EPSS 评分0.074% (第23百分位)弱点类型CWE-863 (不正确的授权)CVSS v4 基础指标可利用性指标攻击向量网络攻击复杂度低攻击要求无所需权限低用户交互无受影响系统影响指标机密性无完整性高可用性低后续系统影响指标机密性无完整性无可用性无受影响版本受影响版本≤ 3.5.38修复版本3.5.39软件包Erlangash (Erlang)glyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxcHWCcbjeeGkyedIFbCPw7GOg3U4eSaSJa8verq5CQ更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享

更多文章