关键信息 漏洞类型: 客户端基于角色的访问控制 (RBAC) 绕过漏洞 严重性: 严重 CVE ID: CVE-2025-48373 受影响版本: 1.0.0 修复版本: >=1.0.1 报告者: ibnusued 描述 受影响代码: 问题描述: - 应用程序依赖客户端JavaScript ( ) 根据用户角色重定向到不同的面板。 - 这种实现方式存在严重的安全风险,因为它假设 的值在客户端是可信的。 - 攻击者可以通过操纵浏览器中的JavaScript(例如通过浏览器开发者工具或拦截API响应)将 设置为任意值(如 "admin"),从而获得对应用程序受限区域的未授权访问。