从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:data.all authenticated users can obtain incorrect object level authorizations - 发布者:noah-paige - 漏洞编号:GHSA-hx8q-7wxv-6c7c - 发布日期:2天前 2. 受影响的版本: - 受影响的版本:v1.0.0 - 2.6.0 - 已修复的版本:2.6.1 3. 漏洞严重性: - 严重性等级:Moderate - CVSS v3 base metrics: - Attack vector:Network - Attack complexity:Low - Privileges required:Low - User interaction:None - Scope:Unchanged - Confidentiality:Low - Integrity:None - Availability:None 4. 漏洞影响: - 描述:已认证的data.all用户能够操纵getDataset查询以获取额外的关于父Environment资源的信息,这些信息用户通过直接查询data.all的getEnvironment对象是无法获取的。 5. 修复措施: - 修复版本:2.6.1 - 建议:建议用户升级到2.6.1或更高版本。 6. 工作绕过: - 说明:没有推荐的工作绕过方法。建议用户升级到2.6.1或最新版本。 7. 参考资料: - 联系AWS/Amazon Security: - 通过漏洞报告页面:https://aws.amazon.com/security/vulnerability-reporting - 通过电子邮件:aws-security@amazon.com 8. 漏洞编号: - CVE编号:CVE-2024-52313 - CWE编号:CWE-863 这些信息可以帮助理解漏洞的性质、影响范围以及如何进行修复。