何が起きたか
バージョン 2.9.0 より前の Twenty(オープンソース CRM)では、AI エージェント監視の AgentTurnResolver に不正な直接オブジェクト参照(IDOR)が含まれていました。agentTurns(agentId) クエリと evaluateAgentTurn(turnId) ミューテーションは、WHERE 句で workspaceId を強制せずに agentId または turnId のみで行を検索していました。クラスレベルのガードは呼び出し元が*何らかの*ワークスペースで認証されていることのみを確認し、リクエストされたオブジェクトを所有するワークスペースであることを確認しませんでした。被害者の agentId または turnId を知っている(または URL から推測できる)任意の認証済みワークスペース所有者は、メッセージパート、ツール呼び出し、ツール出力を含む被害者の完全な AI チャット履歴を読み取り、デフォルト LLM に対して被害者のターンの再評価をトリガーすることができました。
なぜ重要か
AI エージェント展開は通常、機密エンタープライズデータを処理します(内部クエリ、ツール呼び出しパラメータ、API レスポンス)。この欠陥により、同じ Twenty インスタンス上の任意の認証済みユーザーは、認証情報または機密ビジネスデータを含む可能性があるツール呼び出しの詳細を含む、別のワークスペースの AI インタラクション全体の履歴に静かにアクセスできました。turnId と agentId は設定ページの URL で公開されており、列挙が簡単になっています。
攻撃経路
設定ページの URL から取得した被害者ワークスペースの agentId または turnId を使用して、任意のワークスペース内の認証済み攻撃者が agentTurns または evaluateAgentTurn GraphQL クエリを送信します
影響を受けるシステム
Twenty CRM(オープンソース)バージョン 2.9.0 より前
緩和策
Twenty CRM v2.9.0 にアップグレードしてください。アドバイザリ:https://www.tenable.com/cve/CVE-2026-55583