从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:未经授权更改自定义表设置。 2. 受影响的版本: - PHP 8.2:exceedone/exment v6.1.4 或更低,exceedone/laravel-admin v4.1.1 - PHP 8.0:exceedone/exment v5.0.11 或更低,exceedone/laravel-admin v3.0.3 3. 发现方式:通过报告发现。 4. 条件: - 发送请求,因为未经授权的自定义表设置和自定义列可以被篡改。 - 特定条件不会公开,以防止滥用此漏洞。 5. 威胁: - 利用漏洞绕过重新验证受害者的会话,可以用于钓鱼攻击或创建视觉上欺骗性的页面。 6. 解决方案: - 如果可以上传整个项目(包括Exment),推荐更新Exment和laravel-admin到v6.1.5或更高,以及exceedone/laravel-admin到v4.1.2或更高。 - 如果无法上传整个项目,可以尝试以下修改: - 在exment.php文件中添加以下代码: - 在exment.php文件中添加以下代码: - 在AdminControllerTableBase.php文件中添加以下代码: - 在CustomColumnController.php文件中添加以下代码: - 在CustomTableController.php文件中添加以下代码: 这些修改旨在限制对自定义表设置和自定义列的未经授权更改。