漏洞名称:Cal.com /api/auth/session 权限绕过漏洞(CVE-2026-23478)
风险等级:
高危
漏洞描述:
Cal.com 是一款开源的日程安排和预约工具,在Github 拥有39.7K star,广泛用于协作会议、在线客服和自动化任务处理等场景。
Cal.com 在 3.1.6 至 6.0.7 之前版本中,其自定义 NextAuth JWT 回调逻辑存在身份认证绕过漏洞,攻击者可通过调用 session.update() 并构造目标用户的邮箱地址,直接获取任意用户的完整登录会话权限,从而实现账户接管。攻击者可完全接管任意用户账户,读取和篡改个人数据、预约记录及支付信息,甚至冒充管理员进行系统配置修改,造成严重业务安全风险。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
FOFA自检语句:
body="content"='@calcom'" || body="calcom_explained_new_user"
受影响版本:
3.1.6 ≤ Cal.com < 6.0.7
临时修复方案:
- 将 Cal.com 升级到 6.0.7 或更高版本以修复该漏洞;
- 临时禁用 session.update() 方法中的电子邮件修改功能,并添加二次验证逻辑;
- 启用双因素认证(2FA)作为额外的安全防护措施;
- 监测并分析用户登录活动日志,识别异常行为并及时响应。
漏洞检测工具:
鉴于该漏洞影响范围较大,建议优先处置排查,Goby EXP效果如视频演示如下:
查看Goby更多漏洞: Goby历史漏洞合集