关键漏洞信息 漏洞标题 User enumeration via API endpoint 严重性 Moderate CVSS v4 base metrics: 5.3 / 10 影响 描述: 一个用于显示特定字段(如ACL)中列出的用户详细信息的端点可能会被滥用,以批量转储基本用户详细信息(如姓名、隶属关系和电子邮件)。 提示: 如果您的实例允许每个人创建用户帐户,并且您希望真正限制对这些用户详细信息的访问,请考虑将用户搜索限制为管理员。有关新引入的indico.conf设置 的详细信息,请参阅我们的文档。 修复措施 补丁: 您应尽快升级到Indico 3.3.7。请参阅the docs了解如何升级的说明。 变通方法: 可以在web服务器配置中限制对受影响端点的访问,但这样做会破坏某些表单字段,这些字段将不再显示所列用户的详细信息,因此强烈建议进行升级。 更多信息 联系: - 在our forum上打开一个线程。 - 私下发送电子邮件至indico-team@cern.ch。 致谢 此漏洞是在RNP(Rede Nacional de Ensino e Pesquisa)的红队驻留计划期间进行的安全评估中发现的。 研究和测试是由一名安全研究人员在RNP的授权和协调下进行的。 特别感谢RNP安全团队,他们提供了基础设施、方法论和伦理监督。 弱点 CVE ID: CVE-2025-53640 Weaknesses: CWE-200, CWE-639, CWE-862