事件经过
在2.9.0版本之前,Twenty(开源CRM)的AI代理监视器AgentTurnResolver存在不安全的直接对象引用(IDOR)。agentTurns(agentId)查询和evaluateAgentTurn(turnId)变更仅按agentId或turnId进行行查找,但未在WHERE子句中强制执行workspaceId。类级防护仅验证调用者在某个工作区中已认证,而不必然是拥有所请求对象的工作区。任何已认证的工作区所有者,如果知道(或从URL猜测)受害者的agentId或turnId,都可以读取受害者的完整AI聊天历史,包括消息部分、工具调用和工具输出,并可触发针对默认LLM的受害者转换重新评估。
影响分析
AI代理部署通常处理敏感的企业数据 — 内部查询、工具调用参数、API响应。该漏洞使同一Twenty实例上的任何已认证用户能够无声地访问另一工作区的整个AI交互历史,包括可能包含凭证或机密业务数据的工具调用详情。turnId和agentId在设置页面URL中公开,使得枚举变得简单直接。
攻击途径
任何工作区中的已认证攻击者发送agentTurns或evaluateAgentTurn GraphQL查询,使用从设置页面URL获得的受害者工作区的agentId或turnId
受影响系统
Twenty CRM(开源)2.9.0版本之前
缓解措施
升级到Twenty CRM v2.9.0。公告:https://www.tenable.com/cve/CVE-2026-55583