【中危漏洞】CVE-2026-23878:HotCRP 任意文档下载漏洞分析
漏洞概述
HotCRP 是一款广泛用于学术会议论文评审的开源软件。在特定版本范围内,存在一个权限控制缺陷,允许已认证的作者用户通过文档 API 下载任意提交(submission)所关联的文档(如 PDF 或附件),即使这些文档不属于其本人提交的内容。该漏洞已被分配 CVE 编号 CVE-2026-23878,CVSS 评分为 6.5(中危)。
漏洞详情
- CVE 编号:CVE-2026-23878
- 漏洞类型:权限控制不当(CWE-201:信息暴露通过发送至未授权主体)
- CVSS 评分:6.5(中危),向量:CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
- 影响版本:从 commit
aa20ef288828b04550950cf67c831af8a525f508起,至 commitceacd5f1476458792c44c6a993670f02c984b4a0之前的所有 HotCRP 版本
影响范围
所有部署了受影响版本 HotCRP 的会议评审系统均可能受到此漏洞影响。只要攻击者拥有至少一个有效投稿(即具备“作者”身份并已登录系统),即可利用该漏洞访问其他作者提交的私有文档,包括论文全文、补充材料等敏感信息。
风险分析
该漏洞属于信息泄露类安全问题,攻击者无需用户交互即可在低权限(普通作者)下远程获取高敏感度的会议投稿内容。虽然不涉及代码执行或数据篡改,但可能导致学术成果提前泄露、知识产权受损或违反会议保密政策,对学术会议的公正性和安全性构成威胁。
修复建议
- 立即升级 HotCRP 至包含修复补丁的版本,即 commit
ceacd5f1476458792c44c6a993670f02c984b4a0或更高版本。 - 若无法立即升级,建议临时限制非必要用户的文档访问权限,或在 Web 服务器层面增加对文档 API 的访问控制规则,防止跨投稿 ID 的文档请求。
