Goby 漏洞安全通告|Cal.com /api/auth/session 权限绕过漏洞(CVE-2026-23478)

漏洞名称:Cal.com /api/auth/session 权限绕过漏洞(CVE-2026-23478)

风险等级:

高危

漏洞描述:

Cal.com 是一款开源的日程安排和预约工具,在Github 拥有39.7K star,广泛用于协作会议、在线客服和自动化任务处理等场景。

Cal.com 在 3.1.6 至 6.0.7 之前版本中,其自定义 NextAuth JWT 回调逻辑存在身份认证绕过漏洞,攻击者可通过调用 session.update() 并构造目标用户的邮箱地址,直接获取任意用户的完整登录会话权限,从而实现账户接管。攻击者可完全接管任意用户账户,读取和篡改个人数据、预约记录及支付信息,甚至冒充管理员进行系统配置修改,造成严重业务安全风险。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。

FOFA自检语句:

body="content"='@calcom'" || body="calcom_explained_new_user"

受影响版本:

3.1.6 ≤ Cal.com < 6.0.7

临时修复方案:

  1. Cal.com 升级到 6.0.7 或更高版本以修复该漏洞;
  2. 临时禁用 session.update() 方法中的电子邮件修改功能,并添加二次验证逻辑;
  3. 启用双因素认证(2FA)作为额外的安全防护措施;
  4. 监测并分析用户登录活动日志,识别异常行为并及时响应。

漏洞检测工具:

鉴于该漏洞影响范围较大,建议优先处置排查,Goby EXP效果如视频演示如下:

查看Goby更多漏洞: Goby历史漏洞合集

相关推荐
米小虾1 天前
AI Agent 安全实战指南:当智能体开始"不听话",开发者该如何应对?
人工智能·安全·agent
tntxia1 天前
网络安全漏洞修复(一)
安全
泯泷3 天前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
泯泷3 天前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
Flynt7 天前
npm v12 来了:allowScripts 默认关闭,我的项目差点跑不起来
安全·npm·node.js
冬奇Lab12 天前
Skill 系列(02):Skill 安全风险——三类攻击面的实战测试
人工智能·安全·开源
Aphasia31115 天前
VPN 与内网穿透
安全
Mr_愚人派16 天前
当"Claude"不再是 Claude:一次第三方 API 代理引发的 AI 身份伪造排查实录
人工智能·安全
DaLi Yao17 天前
【无标题】
人工智能·安全
Alsn8617 天前
等待学习-学习目录:Docker 容器安全攻防
学习·安全·docker