【高危漏洞】CVE-2026-23843：teklifolustur_app 存在 IDOR 漏洞可导致未授权访问

漏洞概述

teklifolustur_app 是一个基于 Web 的 PHP 应用程序，用于创建、管理和跟踪客户报价。在提交 commit dd082a134a225b8dcd401b6224eead4fb183ea1c 之前，该应用的报价查看功能中存在不安全的直接对象引用（Insecure Direct Object Reference, IDOR）漏洞。经过身份验证的用户可通过篡改 offer_id 参数，访问其他用户的报价数据。该问题源于系统未对当前用户是否拥有目标报价的访问权限进行校验。

漏洞详情

• CVE 编号：CVE-2026-23843
• 漏洞类型：不安全的直接对象引用（IDOR，CWE-639）
• CVSS 评分：7.1（HIGH）
  向量：CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N
• 影响版本：commit dd082a134a225b8dcd401b6224eead4fb183ea1c 之前的所有版本

影响范围

所有使用 teklifolustur_app 且未升级至包含修复提交（dd082a134a225b8dcd401b6224eead4fb183ea1c）的部署实例均受影响。攻击者需具备有效账户登录权限，即可利用该漏洞越权访问其他用户的报价信息。

风险分析

该漏洞允许低权限的已认证用户绕过访问控制，读取本应私有的客户报价数据，造成敏感信息泄露（Confidentiality Impact: HIGH）。虽然完整性影响较低（Integrity Impact: LOW），且不影响系统可用性，但在业务场景中可能导致客户隐私泄露、商业信息外泄等严重后果。

修复建议

• 立即升级至包含修复提交 dd082a134a225b8dcd401b6224eead4fb183ea1c 的最新版本。
• 若无法立即升级，建议在应用层增加对 offer_id 的所有权校验逻辑，确保用户仅能访问其自身创建的报价记录。

参考链接

• GitHub 修复提交
• GitHub 安全公告（GHSA-6h9r-mmg3-cg7m）