aksalsalimi/CVE-2026-26418

# CVE-2026-26418 ## Web API 中缺失的身份验证与授权 ### 漏洞摘要 在 **Tata Consultancy Services (TCS) – Cognix Recon Client v3.0** 的 Web API 层中发现了一个缺失身份验证和授权的漏洞。 某些暴露的 API 端点未强制执行适当的身份验证和授权控制，允许在缺乏适当验证的情况下远程访问应用程序功能。 ## 技术分类 (CWE) - CWE-306 – 关键功能缺失身份验证 - CWE-862 – 缺失授权 ## 受影响的端点 - http://clientreconhost/reconciliations/* - http://clientreconhost/Scheduler/* - http://clientreconhost/DynamicReport/* ## 供应商 Tata Consultancy Services (TCS) ## 受影响的产品 Cognix Recon Client – 版本 3.0 ## 披露信息 **发现者:** Ahmed Khalid Alsalimi **披露模式:** 与 TCS 协调的负责任披露 该漏洞已按照负责任披露流程提交给 Tata Consultancy Services (TCS)。 供应商确认了该问题并实施了纠正措施。 ## 修复状态 TCS 在受影响的 API 端点上强制实施了身份验证要求，并加强了授权验证。 该漏洞在当前部署的产品版本中已验证修复。 ## 披露时间线 - 发现时间: 2026 年 1 月 - 通知 TCS: 协调披露 - TCS 于 2026 年 2 月 4 日实施修复 - CVE 分配: 2026 年 3 月

标签：API 滥用, CISA项目, CVE-2026-26418, CWE-306, CWE-862, Tata Consultancy Services, TCS Cognix, Web API 安全, 中间件安全, 企业安全, 安全漏洞, 对账系统, 未授权访问, 漏洞披露, 缺失授权, 缺失认证, 网络资产管理, 补丁修复, 越权访问, 身份验证绕过, 金融科技