平台
php
组件
krayin/laravel-crm
修复版本
2.2.1
CVE-2026-38530描述了Webkul Krayin CRM v2.2.x中存在的一个Broken Object-Level Authorization (BOLA)漏洞。该漏洞允许经过身份验证的攻击者通过构造的GET请求,未经授权读取、修改和永久删除其他用户拥有的潜在客户数据,造成严重的数据泄露和篡改风险。受影响的版本包括krayin/laravel-crm ≤2.2.0。建议尽快升级至2.3.0版本以修复此漏洞。
该BOLA漏洞的潜在影响非常严重。攻击者可以利用此漏洞访问、修改甚至删除其他用户在CRM系统中创建的潜在客户数据。这可能导致敏感信息泄露,例如客户联系方式、商业需求和销售阶段等。更进一步,攻击者可能利用这些数据进行欺诈活动或破坏业务运营。由于该漏洞需要身份验证,攻击者可能需要先获取一个有效的用户凭据,但一旦成功,他们就可以对整个CRM系统中的潜在客户数据进行任意操作,造成广泛的破坏。该漏洞的发现与类似权限绕过漏洞的攻击模式相似,需要引起高度重视。
CVE-2026-38530已于2026年4月14日公开披露。目前尚未观察到大规模的公开利用,但由于漏洞的严重性和易利用性,存在被攻击者的利用的可能性。建议密切关注安全社区的动态,并及时更新安全情报。该漏洞尚未被添加到CISA KEV目录,但其高危评级表明需要高度关注。
Organizations utilizing Webkul Krayin CRM for customer relationship management, particularly those running versions 2.2.0 or earlier, are at risk. Shared hosting environments where multiple CRM instances share the same server resources are especially vulnerable, as a compromise of one instance could potentially lead to access of other instances.
• wordpress / composer / npm:
grep -r 'LeadController.php' /var/www/html/• generic web:
curl -I http://your-krayin-crm/Controllers/Lead/LeadController.php | grep -i '200 OK'disclosure
漏洞利用状态
EPSS
0.03% (9% 百分位)
CISA SSVC
修复此漏洞的首要措施是立即升级到krayin/laravel-crm 2.3.0或更高版本。如果升级过程存在兼容性问题,可以考虑回滚到之前的稳定版本,并实施额外的安全措施。在升级之前,务必备份CRM系统的数据,以防止数据丢失。此外,可以考虑使用Web应用防火墙(WAF)来检测和阻止恶意请求,并配置访问控制策略,限制用户对潜在客户数据的访问权限。建议定期审查用户权限,确保最小权限原则得到遵守。
将 Krayin CRM 模块升级到 2.3.0 或更高版本以缓解对象级别授权漏洞。 检查并加强 /Controllers/Lead/LeadController.php 端点的授权检查,以确保用户只能访问他们有权访问的数据。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-38530描述了Webkul Krayin CRM v2.2.x中存在的一个Broken Object-Level Authorization (BOLA)漏洞,允许攻击者未经授权访问潜在客户数据。
如果您正在使用krayin/laravel-crm ≤2.2.0,则您可能受到此漏洞的影响。请立即检查您的版本并升级。
升级到krayin/laravel-crm 2.3.0或更高版本是修复此漏洞的最佳方法。
目前尚未观察到大规模的公开利用,但由于漏洞的严重性和易利用性,存在被攻击者的利用的可能性。
请访问Webkul官方网站或GitHub仓库,查找关于CVE-2026-38530的官方安全公告。
CVSS 向量