跨租户未授权密码重置漏洞导致账户接管风险

本文披露了lemlist平台存在的授权漏洞,租户管理员可重置同一租户内其他用户密码,包括已接受邀请的代理账户。该漏洞可能导致账户被恶意接管,但启用多因素认证可有效阻止未授权登录。

未授权密码重置允许跨租户边界接管账户

漏洞摘要

我们在 app.lemlist.com 中发现了一个授权问题,租户管理员能够更改同一租户内其他用户的密码,包括已邀请的代理账户。受害者必须先接受邀请,攻击者才能进行后续操作。该漏洞可能导致在共享租户环境中发生意外的账户访问,但当启用多因素认证(MFA)时,成功阻止了登录尝试。Lemlist 团队已收到通知并解决了该问题,确保对用户凭据更改实施更严格的访问控制。

时间线

  • 2025年10月10日 12:36 UTC - mcdave 向 lemlist 提交报告
  • 2025年10月10日 12:43 UTC - mcdave 将严重性从无更新为严重(9.1)
  • 2025年10月10日 12:48 UTC - mcdave 发表评论
  • 2025年10月10日 14:01 UTC - alban75(lemlist 员工)更改范围
  • 2025年10月10日 14:34 UTC - mcdave 发表评论
  • 2025年10月10日 15:08 UTC - alban75(lemlist 员工)将状态更改为"已分类"
  • 2025年10月10日 15:11 UTC - alban75(lemlist 员工)将严重性从严重(9.1)更新为高(8.4)
  • 2025年10月22日 13:05 UTC - alban75(lemlist 员工)关闭报告并将状态更改为"已解决"
  • 13天前 - mcdave 请求披露此报告
  • 3小时前 - alban75(lemlist 员工)同意披露此报告
  • 3小时前 - 此报告已被披露

报告详情

  • 报告时间:2025年10月10日 12:36 UTC
  • 报告者:mcdave
  • 报告对象:lemlist
  • 报告ID:#3378635
  • 状态:已解决
  • 严重性:高(8.4)
  • 披露时间:2025年11月7日 9:33 UTC
  • 弱点:无
  • CVE ID:无
  • 赏金:无
  • 账户详情:无
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次