从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 标题:Code4Berry Decoration Management System 1.0 Improper Handling of Insufficient Privileges - 描述: - 访问 端点时,普通用户可以注册新用户,包括管理员和超级管理员,从而通过创建具有全权限的新用户来提升自己的权限。 - 这个功能不是必要的,因为普通用户已经具有超级管理员的权限,只是缺少链接到这些功能的侧边栏菜单。 - 这个端点还允许普通用户删除任何人的资料,包括管理员和超级管理员。 - 还有一个功能可以恢复被禁用户的资料,但这个功能是限制给超级管理员的,而且功能本身是错误的。 2. 提交信息: - 提交者:scumdestroy (UID 48934) - 提交时间:2024年11月12日04:43 AM - 状态:已接受 - VulDB Entry:285500 [Code4Berry Decoration Management System 1.0 User userregister.php permission] 3. 漏洞类型: - 漏洞类型:权限提升(Improper Handling of Insufficient Privileges) 4. 漏洞影响: - 受影响的端点:/decoration/admin/userregister.php - 受影响的功能:用户注册、删除用户资料、恢复被禁用户资料 5. 漏洞利用: - 利用方法:普通用户可以通过访问 端点来提升自己的权限,包括管理员和超级管理员。 这些信息可以帮助理解漏洞的性质、影响范围以及如何利用漏洞。