CVE-2026-24735 阿帕奇软件基金会为旗下热门问答平台软件Apache Answer修复了一处严重的隐私漏洞,未通过身份验证的攻击者可借助该漏洞获取本应被删除的内容完整修订历史记录。
该漏洞的危险等级被评定为 “重要”,其存在直接让 “删除” 功能的安全承诺失效。在标准的安全系统中,用户删除帖子或管理员清理敏感数据后,相关内容应从公共视野中彻底消失,而该漏洞却为未授权访问留下了后门。
问题的核心在于平台处理内容历史相关 API 请求的机制上,安全公告将其定义为 Apache Answer 中存在的 **“向未授权主体泄露私人信息”漏洞。
该漏洞具体影响平台的修订记录 API,由于访问控制机制存在缺陷 ,系统未对请求查看历史记录的用户进行权限验证,最终导致 “未做身份验证的 API 接口违规泄露已删除内容的完整修订历史”。
这一漏洞对数据爬取者和隐私侵犯者而言,无疑是可乘之机。若用户不慎发布了 API 密钥、密码、个人手机号等敏感信息,即便立即删除帖子试图补救,攻击者仍可通过调用该 API,从修订历史中提取这些敏感数据。
安全报告警示:“未授权用户可通过该漏洞获取受限制的敏感信息”。
此次漏洞影响1.7.1 及所有更早版本的 Apache Answer,仍在运行这些旧版本的管理员,相当于将平台用户的内容编辑历史暴露在公共网络中。
项目维护团队已在最新的主版本中修复该问题,安全公告明确指出:“建议用户立即升级至 2.0.0 版本,该版本已彻底解决此漏洞问题”。
对于运营 Apache Answer 的社区管理者和 IT 团队而言,此次版本更新属于强制更新,唯有完成升级,才能确保论坛上的各类内容 —— 以及被删除的内容 —— 真正做到隐私保密。
发表评论
您还未登录,请先登录。
登录