CVE-2026-23478：Cal.com严重身份验证绕过漏洞详解

🔐 CVE-2026-23478 — Critical Authentication Bypass

严重等级: 🔴 严重 CVSS v4: 10.0 / 10 发布日期: 2026年1月13日

🎯 受影响软件

• 产品: Cal.com (开源日程安排平台)
• 受影响版本: 3.1.6 → 6.0.6
• 已修复版本: ✅ 6.0.7+

🧩 根本原因

问题源于 NextAuth JWT 回调函数中不恰当的服务器端验证。

问题出在哪里？

• 后端 过于信任客户端提供的数据
• 特别是在 session.update() 过程中
• 攻击者可以提交 任意电子邮件地址
• 服务器将其视为合法数据而接受

🛑 这违反了基本的身份验证和授权边界。

💥 影响

未经身份验证的攻击者能够：

• 👤 以 任意用户 身份登录
• 📅 查看和修改私人日程安排
• ❌ 取消或创建预订
• 🔗 滥用已连接的集成功能
• 🧠 作为跳板获取更深层的系统访问权限

无需凭证、无需用户交互、即可实现完全账户接管。

🧨 攻击特征

🧷 漏洞分类

• CWE-602: 客户端强制执行服务器端安全策略
• CWE-639: 通过用户控制的键进行授权绕过

🛠️ 缓解措施 (立即执行)

✅ 立即行动

1. 将 Cal.com 升级至 v6.0.7 或更高版本
2. 轮换会话令牌和身份验证密钥
3. 审计日志 以查找可疑的会话更新
4. 检查自定义的 NextAuth 逻辑
   • 切勿信任客户端提供的身份字段
   • 执行严格的服务器端检查

🧯 安全启示

日程安排系统即是身份系统。

请像对待身份验证提供商一样，对它们施以同等级别的安全严谨性。

6HFtX5dABrKlqXeO5PUv/ydjQZDJ7Ct83xG1NG8fcAM8/NCQyWk6xPKfDLeRJ7kh