从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:User can view tickets from organizations they're not apart of - 发布者:jon-nfc - 漏洞编号:GHSA-h9q2-fcc6-r65c - 发布时间:2天前 2. 受影响的版本: - 受影响的版本范围:>=1.2.0, <=1.3.0 - 已修复的版本:1.3.1 3. 描述: - 用户在具有查看权限的情况下,可以查看不属于其组织的其他组织的票务。 - 具体权限包括:view_ticket_change、view_ticket_incident、view_ticket_request、view_ticket_problem。 4. 影响: - 只有在浏览API端点时,才能查看不属于其组织的票务。 - Centurion UI不受影响。 - 项目任务(虽然“票务类型”也受影响)不受影响。 5. 补丁: - 建议升级到v1.3.1。 6. 工作绕过: - 从用户中移除票务查看权限可以缓解此漏洞,但不推荐。 - 建议升级。 7. 参考: - 提交带有修复的提交 - MR带有修复 - 固定发布 8. 严重性: - 严重性:低 - CVSS v3基础指标:AV: P, AC: L, PR: L, UI: R, S: U, C: L, I: N, A: N 9. CVE编号: - CVE-2024-53855 10. 弱点: - CWE-653 11. 贡献者: - Remediaion developer (jon-nfc)