【中危漏洞】CVE-2026-23844:Whisper Money 存在不安全的直接对象引用漏洞
漏洞概述
Whisper Money 是一款个人财务管理应用。在版本 0.1.5 之前,该应用存在一个不安全的直接对象引用(Insecure Direct Object Reference, IDOR)漏洞,允许低权限用户未经授权修改或创建其他用户的银行账户余额。该问题已在 0.1.5 版本中修复。
漏洞详情
- CVE 编号:CVE-2026-23844
- 漏洞类型:CWE-488(不安全的直接对象引用)
- CVSS 评分:4.9(中危)
- 影响版本:Whisper Money 0.1.5 之前的所有版本
影响范围
所有使用 Whisper Money 0.1.5 之前版本的用户均受此漏洞影响。攻击者只需拥有低权限账户,即可通过构造请求篡改其他用户的银行账户数据,导致数据完整性受损。
风险分析
该漏洞属于典型的 IDOR 问题,攻击者可利用其绕过访问控制机制,在无需用户交互的情况下,以低权限身份对其他用户的数据进行写操作。虽然不会导致信息泄露或服务中断,但可能造成严重的财务数据篡改风险,影响应用的可信度和用户资产安全。
修复建议
- 立即升级至 Whisper Money 0.1.5 或更高版本,该版本已修复此漏洞。
- 如暂时无法升级,建议在应用层增加严格的用户身份与资源归属校验逻辑,确保用户只能访问和修改自身拥有的数据。
